是否可以自动选择正确的客户端证书？

Question

我已经使用 SSL 客户端证书配置了 Apache httpd 网站，以便只有在 Web 浏览器中安装了正确证书的用户才能访问该网站。

如果仅安装了一个客户端证书，Web 浏览器将自动选择它（这不是默认设置，但可以在设置对话框中的某处进行配置）。但是，如果用户安装了多个证书，Web 浏览器会显示一份证书列表，用户必须选择正确的证书才能继续。

问题是：有没有办法配置httpd发送提示，以便网络浏览器可以自动选择所需的证书？

Answer 1

SSL (TLS) 协议仅允许服务器对客户端证书指定两个约束：

1. 证书类型（RSA、DSA 等）
2. 签署客户端证书的可信证书颁发机构 (CA)

您可以使用 "openssl s_client" 查看您的 Apache 服务器信任哪个 CA 来获取客户端证书。我不知道如何配置 Apache 来更改该列表（抱歉），但我打赌有办法。因此，如果您可以将列表限制为（例如）您自己组织的 CA，那么您就已尽一切努力允许 Web 浏览器自动选择客户端证书。

正如尤金所说，浏览器是否真的这样做取决于特定的浏览器。

Answer 2

我想说，由于选择证书是客户端任务，因此没有明确的方法强制客户端使用服务器端的这个或那个证书。

Answer 3

除了 @Nemo 和 @Eugene 所说的之外，默认情况下，Apache Httpd 将发送从其 SSLCACertificateFile 或 SSLCACertificatePath 配置指令获取的 CA 列表。

但是，您可以使用 SSLCADNRequestFile 或 SSLCADNRequestPath 指令强制它在 certificate_authorities 中发送不同的列表，并将它们指向另一组证书。仅使用这些证书的主题 DN（并在列表中发送）。如果您想强制使用某些名称，您甚至可以使用您想要的任何名称对这些证书进行自签名。我已经尝试过这个（与 SSLVerifyClient option_no_ca 结合使用，您可以让客户端发送服务器实际上没有的 CA 证书的证书。（这不一定有用，但它可以工作） .)