Моя компания приобрела групповой сертификат у поставщика. Этот сертификат был успешно настроен с Apache 2.2 для защиты поддомена. На стороне SSL все работает.
Теперь мне необходимо сгенерировать клиентские сертификаты x509 для выпуска для этого поддомена. Я слежу за этой страницей: (http://www.vanemery.com/Linux/Apache/apache-SSL.html), начиная с «Создание клиентских сертификатов для аутентификации».
Я создал файлы p12 и успешно импортировал их в Firefox. Когда я сейчас захожу на сайт, я получаю сообщение об ошибке в FireFox: «Соединение с сервером было сброшено во время загрузки страницы».
Я думаю, что моя проблема в том, что я неправильно подписываю клиентскую сторону. Когда я подписываю сертификат на стороне клиента, я использую файл PEM (RapidSSL_CA_bundle.pem) от RapidSSL (у которого мы купили сертификат) в качестве аргумента -CA. В качестве аргумента -CAkey я использую закрытый ключ сервера. Это верно?
Используйте openssl для просмотра содержимого сгенерированного сертификата. Тогда будет очевидно, правильно ли работает ваша подпись.
openssl x509 -text -noout -in <yoursignedcert>
Если все в порядке и есть поле Issuer, в котором указано, где он подписан, попробуйте использовать openssl для подключения к вашему серверу и посмотреть, что он ожидает.
openssl s_client -connect <host>:port -CAfile <yourtrustcert> -cert <yoursignedcert>
Это должно дать некоторые подсказки относительно того, запрашивает ли сервер ваш сертификат или нет.
Вероятно, Apache сбрасывает соединение. Попробуйте посмотреть свои файлы журналов. Если вы используете систему * nix, это должно быть в /var/log/apache/error.log.
Я не думаю, что лицензия на подстановочный сертификат позволяет использовать его для подписания других сертификатов. Для этого вам нужно быть центром сертификации.