如何在不使用自签名CA的情况下进行双向ssl身份验证

Question

我需要在apache和应用程序之间设置2个相互ssl身份验证。为了做到这一点，我从快速SSL购买了一个廉价的SSL。RapidSSL发送一个压缩文件夹

CACertificate-1.cer  (RapidSSL SHA256 CA - G3)
CACertificate-2.cer  (GeoTrust Global CA)
ServerCertificate.cer (Actual Certificate)

但我被困在需要创建客户证书的地方。我所遵循的cafesoft.com教程使用CA的证书密钥生成/签名客户端的证书。显然，我没有CA的证书密钥。怎么做呢？我应该放弃使用自我签名的CA，还是有办法做到这一点？

提前谢谢你，

Answer 1

用于验证客户端的服务器证书和CA证书是两件不同的事情。

首先，您需要安装服务器证书(SSLCertificateFile和SSLCertificateFileKey)。你应该已经有了。

此时，您的服务器向客户端显示了他的证书。

现在，您需要生成一个CA (自签名)，并告诉您的Apache实例，这是您希望用于验证客户端的CA。(SSLCACertificateFile和SSLVerifyClient要求)

您只需签署您的客户csr与您新创建的CA。

干杯。

Answer 2

您需要为每个用户提供一个客户证书 (如果您的应用程序正在向服务器进行身份验证，则需要一个客户端应用程序)，该应用程序将使用相互的auth。您可以从现有CA购买客户端证书，也可以创建自签名CA证书并颁发自己的证书。如果您有许多用户，购买证书可能是昂贵的。