我在一篇文章中读到,Openssl 1.0.2 允许您根据客户端配置选择证书。例如,Windows XP 早期 SP2 不支持 ECC 证书。此服务器将返回一个证书,并为现代操作系统返回另一个证书。
我找不到关于这项技术的描述。有网络服务器支持它吗?
答案1
您指的是链接文章中的这部分内容(此处已翻译为英文):
OpenSSL 1.0.2 版允许您根据客户端的参数选择服务器证书。遗憾的是,Nginx 开箱即用,不允许对单个使用多个证书
server。
这似乎是指以下 OpenSSL 功能,在 1.0.2 中添加:
*) 添加证书回调。如果设置,则每当客户端或服务器需要证书时都会调用此回调。应用程序可以根据任意标准决定要显示哪个证书链:例如支持的签名算法。向 s_server 添加非常简单的示例。这解决了现有客户端证书回调的许多问题和限制:例如,您现在可以清除现有证书并指定整个链。[Steve Henson]
到目前为止,我找不到任何证据表明 nginx 支持此功能,也找不到任何非官方补丁。快速浏览一下,我也没有找到任何与 Apache 或任何其他 Web 服务器相关的内容。我相信它最终会被添加,但如果你真的很快就需要它,我建议你在 nginx 邮件列表中询问。