我想为同一网站提供针对不同范围的源 IP 地址的不同 TLS 证书。例如,在一个区块中,我希望用户连接到浏览器,其中公司的本地 CA 安装在客户端的根信任存储中。在另一个区块中,将有另一组没有该本地 CA 的用户,因此我想提供自签名证书或由其公司 CA 签名的证书。在另一个区块中将是 M2M 连接,其中只需要简单的自签名证书。
我已经阅读过有关在 Apache Traffic Server 中使用 ssl_multicert.config 或使用服务器名称指示(SNI)的信息,但是这些都处理目标 IP(服务器),而不是源 IP(客户端)。
我知道我可以为每个证书在单独的端口上运行 Apache,然后使用 iptables 中的 REDIRECT 跳转目标。我正在寻找一种干净的方法来仅使用 Apache (2.4) 配置选项来执行此操作。有人知道吗?
