SSLVerifyClient bỏ qua ngày hết hạn

Question

Tôi có một dịch vụ web và được cấu hình để xác minh chứng chỉ client

SSLCACertificateFile /xxxx/rootca-cert.pem 

<Location /manage/ccc> 
    SSLVerifyClient require 
    SSLVerifyDepth 1 
    SSLOptions +StdEnvVars 
</Location> 

khách hàng của tôi đều chạy với giấy chứng nhận có chữ ký của rootca-cert.pem này.

Vấn đề của tôi là tệp rootca sắp hết hạn và tôi không dễ dàng cập nhật chứng chỉ ở phía máy khách. Có thể cấu hình apache để nó tiếp tục xác minh các chứng chỉ ứng dụng khách nhưng bỏ qua thực tế là cả hai chứng chỉ rootca và client đều hết hạn?

Answer 1

Apache mod_ssl không cho phép bạn bỏ qua chứng chỉ đã hết hạn, ngay cả khi sử dụng "optional_no_ca". Sửa chữa duy nhất là vá mã mod_ssl hoặc đặt thời gian máy chủ của bạn ngược thời gian.