我有一张 PKCS#11 兼容智能卡,上面有一个私钥,或者一个证书和私钥的组合(我可以同时拥有两者)。
我想向访问者出示智能卡上的证书,或者使用磁盘上的常规证书文件,但使用仅存储在那里的私钥解密智能卡上的流量。
这似乎是可以实现的,但现有的支持似乎不存在(每个人都关注客户端证书,这不是我想要的)。
Windows + IIS 似乎不支持该选项(仅来自文件的证书)。
Linux + Apache + mod_ssl 似乎最接近,但无法识别我的 pkcs11 引擎。应用以下补丁时(https://issues.apache.org/bugzilla/show_bug.cgi?id=52473)服务器不再启动(似乎是由于双重锁定错误)。
似乎没有其他 Web 服务器支持此功能,至少我找不到。我错了吗?是否有 Web 服务器可以做到这一点?是否有人有更好的 mod_ssl 补丁?我一开始就想要这个是不是很傻?请帮忙。
答案1
我自己没用过,但 nginx 在过去几个月里实现了对 OpenSSL 引擎的支持。遗憾的是,Apache 似乎没有推进所引用的错误报告。