El servidor envía el certificado del servidor para que lo valide el cliente. El certificado de cliente es enviado por el cliente, para ser validado por el servidor. Viven en mundos diferentes y no tienen ninguna necesidad de relacionarse con la misma autoridad de certificación.
Para la validación de certificados de clientes con Apache, consulte esta documentación . El servidor deberá validar el certificado del cliente con respecto a alguna CA de confianza; utiliza SSLCACertificateFile
o SSLCACertificatePath
para configurar estos CA. También es posible poner un certificado de cliente específico directamente allí (lo que se denomina "confianza directa"). Probablemente deseará agregar una cláusula SSLRequire
: validar un certificado es bueno, pero a menudo desea otorgar acceso a un cliente específico, como en "usuario humano", no solo a nadie Quién podría obtener un certificado de una CA dada. El certificado, una vez validado, le brinda cierta garantía de que la identidad del cliente es realmente la especificada en el certificado, pero aún depende de usted determinar si se aceptará o no una identidad específica; y SSLRequire
es la herramienta principal para configurar eso.