Ejecuto un servicio web HTTPS. Los clientes se autentican utilizando un certificado de cliente TLS. ¿Cómo configuro un servidor web estándar de Linux (preferiblemente Apache) para validar los certificados de cliente contra sus CRL?
El certificado de cliente es emitido por una CA de terceros. Todos los certificados incluyen el punto de distribución de CRL, pero no son compatibles con OCSP.
Pensé que esto sería simple. Pero no puedo descargar todas las CRL por adelantado, que es lo que Apache parece querer. Esto se debe a que la CA de terceros utiliza un certificado intermedio para emitir sus certificados de entidad final, y no tengo una lista de todas esas CA intermedias; lo primero que sabré es cuando un cliente se conecta. Cada CA intermedia tiene su propio CRL. Así que tengo que descargar la CRL cuando el cliente se conecta, no antes.
¿Admite esto un servidor web razonablemente disponible?
(Editar para agregar: Parece que IIS en Windows admite esto: enlace . Entonces, ¿algún servidor web de Linux admite esto, o tengo que usar Windows?)