apache - apache2 x509 客户端验证不适用于 TLSv1.3
问题描述
我有 apache2 (2.4.38-3+deb10u4, openssl 1.1.1d) 配置了 SSLCACertificateFile 用于客户端验证。它适用于 Windows 10 和 IE11,但不适用于 Firefox (88.0.1)。经过多次测试,我发现在服务器上禁用 TLSv1.3 可以解决问题。我正在使用带有 pkcs11 的智能卡作为客户端证书。如果没有 SSLVerifyClient 要求,Firefox 可以使用 TLSv1.3 连接到服务器 - 因此该协议有效。但是使用 SSLVerifyClient,我在 apache 日志中看到:
SSL Library Error: error:1417C0C7:SSL routines:tls_process_client_certificate:peer did not return a certificate -- No CAs known to server for verification?
在 Firefox 上,我看到:
SSL_ERROR_RX_CERTIFICATE_REQUIRED_ALERT
我这是一个错误还是 TLSv1.3 需要新的东西?