我们正在尝试仅为 Android 用户实现“SSLVerifyClient none”配置,在给定的虚拟主机上可行吗?
<VirtualHost *:443>
...
SSLVerifyClient optional
BrowserMatch Android SSLVerifyClient none
...
</VirtualHost>
由于某种原因,它无法正常工作,我们正在使用 Apache 2.2
答案1
SSLVerifyClient服务器上下文(即全局或虚拟主机)内适用于初始 TLS 握手。所需的 User-Agent 标头BrowserMatch仅在成功完成 TLS 握手后完成。这意味着您试图在 TLS 握手完成后设置与 TLS 握手相关的选项,这当然是行不通的。
但鉴于您仅进行了设置,因此SSLVerifyClient如果optional没有发送证书它就不会失败。