У меня есть смарт-карта, совместимая с PKCS # 11, либо с закрытым ключом, либо с комбинацией сертификата и закрытого ключа (у меня может быть и то, и другое).
Я хочу представить посетителям сертификат со смарт-карты или использовать обычный файл сертификата на диске, но расшифровать трафик на смарт-карте с помощью закрытого ключа, который хранится только там.
Это похоже на то, что должно быть возможным, но существующей поддержки для этого, похоже, нет (все сосредоточены на клиентских сертификатах, а я не хочу).
Windows + IIS, похоже, не поддерживает эту опцию (только сертификаты из файла).
Linux + Apache + mod_ssl, кажется, подходит ближе всего, но не может распознать мой движок pkcs11 из коробки. При применении следующего патча (https://issues.apache.org/bugzilla/show_bug.cgi?id=52473) сервер больше не запускается (видимо, из-за ошибки двойной блокировки).
Ни один другой веб-сервер, похоже, не поддерживает это вообще, по крайней мере, я не могу найти. Я ошибся? Есть ли веб-сервер, который может это сделать? Есть ли у кого-нибудь лучший патч для mod_ssl? Неужели я вообще глуп, что хочу этого? Пожалуйста помоги.
Я сам не использовал его, но nginx реализовал поддержку движков OpenSSL за последние несколько месяцев. К сожалению, не похоже, что Apache продвинулся вперед со ссылкой на отчет об ошибке.