我可以使用 SetEnvIf 设置 SSLInsecureRenegotiation 指令吗？

我们正在运行带有 OpenSSL 0.98 的 Apache 2.2.22，我们的一台 Citrix NetScaler 主机在握手 SSL 后无法发送客户端证书，因为我们必须将 SSLInsecureRenegotiation 设置为安全标准。

有没有办法根据 Remote_Addr 动态设置此指令？我尝试了很多设置，但我想按照设计，似乎没有办法选择性地允许某个用户代理或 IP 使用 SSLInsecureRenegotiation？

我们已经修补了最新的 NetScaler 10，但是在 SSL 初始握手之后，Apache 向 NetScaler 发送回了重新协商请求，因为 LocationMatch 需要客户端证书，但这从未得到响应，导致 Apache 终止会话。-https://www.rfc-editor.org/rfc/rfc5746#section-3.5Citrix 告诉我们，下游规则通常位于“受信任”网络上，并且不支持使用客户端方法，是否可以区分请求以及如何通过某种主机身份或 IP 调用 SSLInsecureRenegotiation 指令？

其他论坛的一些评论 -

我不认为它可以设置在虚拟服务器级别以下的任何地方，这就是为什么我认为它需要在负载均衡器上解决（尽管 Citrix 可能会这么说）。他们似乎有很多不同的 TLS 重新协商值可以设置，包括完全禁用客户端和服务器之间的重新协商支持。也许在 serverfault 上发布这个问题会有所帮助？ – mahnsc 14 小时前

嗨，问题在于 SSL 卸载旨在在 Web 服务器前面运行，而不是在客户端，但不幸的是我们的项目还是继续进行。Citrix 尚未完全实施 RFC 5746 扩展来防止后端的中间人攻击，因为他们认为 Netscaler 后面的后端（在这个反向上下文中是逻辑的）是一个受信任的通道，第三方托管 Apache 对所有流量都有严格的安全规则。我可能会说服他们为我们的主机设置一个特殊案例，但找不到在会话中设置指令的方法。– ev4nsj 14 分钟前