Принудительная проверка клиента в Apache только для определенного сертификата клиента

Я хочу, чтобы мой веб-сервер Apache принимал SSL-соединения, ТОЛЬКО ЕСЛИ клиент представляет собой определенный сертификат клиента SSL. Другими словами, разрешен только ОДИН клиент, и он ДОЛЖЕН использовать определенный сертификат клиента (который у меня тоже есть).

Этот сертификат клиента (назовем его «MyClientCertificate») является обычным сертификатом PEM, выпущенным центром сертификации (назовем его «MyCA»), для которого у меня также есть его сертификат.

Вот как я настроил свой виртуальный хост Apache для этой цели (я сообщаю только о параметрах, связанных с проверкой клиента SSL):

SSLVerifyClient require
SSLCACertificatePath /etc/ssl/certs
SSLCACertificateFile /etc/ssl/client/MyClientCertificate.pem
SSLCADNRequestFile /etc/ssl/client/MyClientCertificate.pem
SSLVerifyDepth 1

Пояснения к вариантам (или, по крайней мере, к моим намерениям ...):

• с "SSLVerifyClient require" я заставляю Apache всегда выполнять проверку клиента и отклонять соединение в случае сбоя
• / etc / ssl / certs содержит сертификаты PEM MyCA (правильно установленные в системе с требуемым процессом хеширования + символические ссылки), если сертификаты всех других известных центров сертификации Apache могут распознать
• с SSLCACertificateFile Я добавляю сертификат MyClientCertificate в список сертификатов CA в / etc / ssl / certs как сам по себе доверенный сертификат, а с SSLCADNRequestFile я говорю, что мой сервер должен запрашивать только этот сертификат (и только он) клиенту, а не весь список сертификатов ЦС в SSLCACertificatePath + SSLCACertificateFile
• с "SSLVerifyDepth 1" я говорю, что разрешенный сертификат клиента подписан ЦС, который входит в число тех, которые распознаются сервером (в SSLCACertificatePath)

Похоже, это сработало: Apache требует сертификат клиента, отклоняет соединение, если указанный сертификат клиента не предоставлен, и принимает его, если он есть. Однако недавно клиент (который является для меня поставщиком) решил сменить свой сертификат клиента на новый (назовем его MyNewClientCertificate.pem) с 2048-битным шифрованием вместо 1024-битной глубины старого. Проблема вот в чем:

• поставщик говорит, что он изменил свой сертификат клиента и теперь использует новый сертификат для аутентификации
• поставщик уверенно заявляет, что предъявляет ТОЛЬКО новый сертификат, а не одновременно новый и старый
• Я еще не изменил свою конфигурацию Apache (следовательно, мой Apache все еще настроен на запрос старого сертификата)
• НО мой Apache без проблем принимает клиентские подключения поставщика !! Я ожидал, что он начнет выходить из строя, пока я не изменю его конфигурацию, чтобы заменить ссылки MyClientCertificate.pem на MyNewClientCertificate.pem

Новый сертификат выдается тем же ЦС, что и старый. Поставщик предполагает, что моя конфигурация Apache, вероятно, принимает все подключения от клиентов, которые представляют сертификат, выпущенный этим ЦС, вместо того, чтобы выполнять сопоставление самого сертификата клиента.

Если это так, что я делаю не так в своей конфигурации? Должен ли я снизить SSLVerifyDepth до 0? (но разве это не означает, что сертификат должен быть самоподписанным?) Или мне нужно что-то изменить в директивах SSLCACertificateFile / SSLCADNRequestFile?

Поскольку эта система находится в производстве, у меня нет возможности выполнить все тесты, которые я могу придумать, но я должен попытаться внести целенаправленные изменения, чтобы как можно быстрее получить правильный результат. Вот почему я был бы признателен за любую помощь по этой теме.