Chrome ไม่แจ้งให้ใช้ใบรับรองในเครื่องหลังจากตั้งค่าการตรวจสอบสิทธิ์ใบรับรองไคลเอ็นต์บน Apache

ฉันได้ใช้ คู่มือนี้ เพื่อตั้งค่าการรับรองความถูกต้องของใบรับรองไคลเอนต์บน Apache

ฉันตรวจสอบใบรับรองของฉันโดยใช้ ยืนยัน openssl คำสั่ง (ถูกต้อง) ฉันยังนำเข้าไฟล์ PFX ไปยังพวงกุญแจ macOS ของฉันและตั้งค่าเป็น "เชื่อถือเสมอ" ได้สำเร็จ

นอกจากนี้ ฉันได้สร้างไฟล์ .htaccess เอกสารใน /แอดมิน ไดเรกทอรีของเว็บไซต์ของฉันและกรอกด้วยสองบรรทัด:

SSLVerifyClient ต้องการ
SSL ตรวจสอบความลึก 10

แน่นอนว่าแนวคิดนี้คือการจำกัดการเข้าถึงแผงการดูแลระบบผ่านใบรับรองไคลเอ็นต์

ตอนนี้เมื่อฉันเข้าถึงไฟล์ /แอดมิน หน้าใน Chrome ฉันได้รับสิ่งนี้:

ดังนั้นสิ่งต่าง ๆ ดูเหมือน ไปทำงาน. ปัญหาคือเบราว์เซอร์ไม่แจ้งให้ฉันจัดเตรียมใบรับรองในเครื่องที่ฉันนำเข้าในพวงกุญแจ ซึ่งทำให้ฉันไม่สามารถเข้าถึง /แอดมิน ทรัพยากร.

ฉันพลาดอะไรไป

Chrome ไม่สนับสนุนการตรวจสอบสิทธิ์หลังการใช้งาน นั่นคือ การเจรจาต่อรอง SSL อีกครั้ง และส่งใบรับรองไคลเอ็นต์เมื่อสร้างการเชื่อมต่อแล้ว เนื่องจาก (จากหน้ารายงานข้อบกพร่องของ Chrome)

การรับรองความถูกต้องหลังการจับมือมีปัญหาด้านความปลอดภัย ความหมาย และ DoS (...) จำเป็นต้องมีการทำงานข้อมูลจำเพาะบางอย่างเพื่อให้กำหนดใน HTTP/1.1 เลย และที่สำคัญกว่านั้นคือไม่ได้กำหนดอย่างชัดเจนใน HTTP/2 เพื่อสนับสนุนโซลูชันที่เป็นมิตรกับมัลติเพล็กซ์ (...)

ใน Firefox คุณสามารถเปิดใช้งานได้ แต่จะไม่เปิดใช้งานตามค่าเริ่มต้น ด้วยเหตุผลเดียวกันกับที่ Chrome ไม่ได้ใช้งาน

คุณสามารถตรวจสอบรายงานข้อบกพร่อง (ไฟร์ฟอกซ์, โครเมียม) สำหรับข้อมูลเพิ่มเติม

ฉันคิดว่าสิ่งที่คุณสามารถทำได้คือการตั้งค่า SSLVerifyClient ถึง ไม่จำเป็นให้ย้ายไปที่ โฮสต์เสมือน ระดับ (ใดๆ เอสเอสแอล* คำสั่ง ดังนั้นจะมีการขอใบรับรองระหว่างการจับมือกัน) และต้องมีใบรับรองใน .htaccess ไฟล์เช่นนี้:

AuthName "ทรัพยากรผู้ดูแลระบบ"
AuthType พื้นฐาน
ต้องการ ssl-verify-client