我一直在尝试基于客户端证书配置客户端身份验证。有些浏览器在访问页面时出现问题,最终会抛出错误。查看数据包转储后,似乎浏览器尝试更改“密码规范”,而 Web 服务器响应错误(错误类型 21)。
经过很长时间的配置更改后,我发现,通过禁用 SSLVerifyClient 选项,网站就可以加载。但是,如果没有此选项,显然无法进行客户端身份验证。
有人知道为什么会发生这种情况吗?
答案1
警报 21 是 decryption_failed(请参阅 RFC 2246,第 7.2 节)。这是一个非常奇怪的警报,通常表示 SSL 堆栈中存在错误。
当您设置了 SSLVerifyClient 时,我认为服务器会发送一个证书请求。而客户端选择不发送证书请求?当然,一切都应该正常。
随机想到,如果这是一个 FreeBSD 服务器,请确保您没有根据错误的 OpenSSL 标头编译 Apache(即,如果您的端口 OpenSSL 是 1.0.0 而系统是 0.9.8)。