サードパーティCA-NOT自己署名入りCAを使用してクライアント証明書を生成する方法

Question

Webブラウザで使用するためのクライアント証明書をエクスポートしようとしています。

目的は、< Location>ディレクティブを使用して管理領域にアクセスを制限することです。私は、自己署名入りのCAを使用するためのチュートリアルを多数見てきました。第三者を使ってどうやったらいいですか？

1）信頼できるルートCAの場合、クライアントpfxにCAを含める必要がありますか？私は両方の例を見てきました。 CAで

openssl pkcs12 -export -inkey KEYFILENAME -in CERTFILEFILENAME -out XXX.pfx 

：CAなし

openssl pkcs12 -export -in my.crt- inkey my.key -certfile my.bundle -out my.pfx 

2）私はまだhttpd.confの設定で、信頼できるCAのSSLCACertificateFileを含める必要がありますか？

SSLVerifyClient none 
SSLCACertificateFile conf/ssl.crt/ca.crt 
<Location /secure/area> 
SSLVerifyClient require 
SSLVerifyDepth 1 
</Location> 

http://www.modssl.org/docs/2.8/ssl_howto.html#ToC8

Answer 1

あなたは、サードパーティのCAでクライアント証明書を発行することはできません証明書に署名しました。コマンドラインは、クライアント証明書を発行するために... apachelca2.pemはそれで鍵と証明書の両方を持っていることを

SSLCertificateFile /etc/apache2/ssl/apache.cer # site certificate signed by verisign 
    SSLCertificateKeyFile /etc/apache2/ssl/apache.key # site key for certificate signed by verisign 
    SSLCACertificateFile /etc/apache2/ssl/apachelca2.pem # your self signed CA 

注：クライアント証明書を発行するための自己署名したCAを持っており、SSLCACertificateFile

サンプルとして、このCAを指定する必要があります：

openssl req -config /usr/share/apache2/ssleay.cnf -new -key client.key -out client.csr 

openssl x509 -req -days 365 -CA /etc/apache2/ssl/apachelca2.pem -CAkey /etc/apache2/ssl/apachelca2.pem -CAcreateserial -in client.csr -extfile /usr/share/apache2/ssleay.cnf -extensions v3_req -out client.crt