我正在尝试在 F5 BIG-IP 和运行 Apache2 的 Ubuntu 服务器之间配置 TLS 客户端身份验证(相互身份验证)。不幸的是,无论我尝试什么,它都会在 /log/apache2/error.log 下显示以下消息失败:
[client 10.128.2.110:64689] AH01964: Connection to child 19 established (server testapplication.com:443)
[client 10.128.2.110:64689] AH02043: SSL virtual host for servername testapplication.com found
[client 10.128.2.110:64689] AH02275: Certificate Verification, depth 1, CRL checking mode: none [subject: CN=LAB-CA,DC=lab,DC=com / issuer: CN=LAB-CA,DC=lab,DC=com
[client 10.128.2.110:64689] AH02275: Certificate Verification, depth 0, CRL checking mode: none [subject: CN=F5-CERT,C=GB / issuer: CN=LAB-CA,DC=lab,DC=com
[client 10.128.2.110:64689] AH02008: SSL library error 1 in handshake (server testapplication.com:443)
SSL Library Error: error:140880AE:SSL routines:SSL3_GET_CERT_VERIFY:missing verify message
[client 10.128.2.110:64689] AH01998: Connection closed to child 19 with abortive shutdown (server testapplication.com:443)
一些基本数据:
Apache2 版本:Apache/2.4.7
OpenSSL 版本:已安装:1.0.1f-1ubuntu2.22
BIG-IP 版本:11.6.1
我已验证 F5 提供的证书使用正确的证书模板(客户端身份验证)。F5 和 Apache 端的证书都由同一个 CA 签名。我的虚拟主机文件下有以下设置:
SSLCACertificateFile /etc/apache2/certs/LAB-CA.crt
SSLVerifyClient require
SSLVerifyDepth 10
在这一点上我有点难过。这个概念验证是一个非常重要的项目,对我们的客户来说非常重要,他们非常渴望把它钉牢。
谢谢你的帮助。