我正在尝试在F5 BIG-IP和运行Apache2的Ubuntu服务器之间配置TLS客户端身份验证(相互身份验证)。不幸的是,无论我尝试什么,它都会在/log/apache2/error.log下继续失败:
[client 10.128.2.110:64689] AH01964: Connection to child 19 established (server testapplication.com:443)
[client 10.128.2.110:64689] AH02043: SSL virtual host for servername testapplication.com found
[client 10.128.2.110:64689] AH02275: Certificate Verification, depth 1, CRL checking mode: none [subject: CN=LAB-CA,DC=lab,DC=com / issuer: CN=LAB-CA,DC=lab,DC=com
[client 10.128.2.110:64689] AH02275: Certificate Verification, depth 0, CRL checking mode: none [subject: CN=F5-CERT,C=GB / issuer: CN=LAB-CA,DC=lab,DC=com
[client 10.128.2.110:64689] AH02008: SSL library error 1 in handshake (server testapplication.com:443)
SSL Library Error: error:140880AE:SSL routines:SSL3_GET_CERT_VERIFY:missing verify message
[client 10.128.2.110:64689] AH01998: Connection closed to child 19 with abortive shutdown (server testapplication.com:443)
一些基本统计数据:
Apache2版本:Apache / 2.4.7
OpenSSL版本:已安装:1.0.1f-1ubuntu2.22
BIG-IP版本:11.6.1
我已经验证了F5提供的证书使用的是正确的证书模板(客户端身份验证)。 F5和Apache端的两个证书都由同一个CA签名。我的虚拟主机文件下有以下设置:
SSLCACertificateFile /etc/apache2/certs/LAB-CA.crt
SSLVerifyClient require
SSLVerifyDepth 10
此时我有点难过。这个概念验证是我们客户非常重要的项目,因此我非常希望能够将其固定下来。
感谢您的帮助。