Me gustaría preguntar si es posible utilizar una CA diferente para el certificado del cliente y el certificado web.
Por ejemplo, usaría Verisign para firmar mi certificado web mientras uso mi certificado Self Sign para el certificado del cliente. Solo me preocupa tener que pagar una CA por cada nuevo certificado de cliente que me gustaría registrar.
¿Cómo configuras eso en el servidor Apache? es posible? ¿Necesito configurar el SSLCACertificateFile?
El servidor envía el certificado del servidor para que lo valide el cliente. El certificado de cliente es enviado por el cliente, para ser validado por el servidor. Viven en mundos diferentes y no tienen ninguna necesidad de relacionarse con la misma autoridad de certificación.
Para la validación de certificados de clientes con Apache, consulte esta documentación . El servidor deberá validar el certificado del cliente con respecto a alguna CA de confianza; utiliza SSLCACertificateFile o SSLCACertificatePath para configurar estos CA. También es posible poner un certificado de cliente específico directamente allí (lo que se denomina "confianza directa"). Probablemente deseará agregar una cláusula SSLRequire : validar un certificado es bueno, pero a menudo desea otorgar acceso a un cliente específico, como en "usuario humano", no solo a nadie Quién podría obtener un certificado de una CA dada. El certificado, una vez validado, le brinda cierta garantía de que la identidad del cliente es realmente la especificada en el certificado, pero aún depende de usted determinar si se aceptará o no una identidad específica; y SSLRequire es la herramienta principal para configurar eso.
Lea otras preguntas en las etiquetas tls certificates certificate-authority apache