mod_ssl SSLCACertificatePath Правильное использование или как лучше всего обрабатывать несколько допустимых сертификатов CA.

Я пытаюсь использовать директиву mod_proxy SSLCACertificatePath, но я немного запутался, как правильно ее использовать.

Вот две ссылки, объясняющие директиву SSLCACertificatePath:
http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath
http://www.modssl.org/docs/2.8/ssl_reference.html#ToC13

Я не уверен, как создавать хешированные символические ссылки. Вторая ссылка указывает на использование файла apache make, но я совершенно не понимаю, что именно там говорится.

Любое дружеское руководство будет с благодарностью.

Спасибо за ваше время.

ОБНОВИТЬ

Цель моего вопроса состояла в том, чтобы выяснить, как обрабатывать несколько ЦС для проверки клиентских сертификатов конечного пользователя. Я не осознавал, что несколько сертификатов pem могут использоваться в одном файле, что, в моем случае, является правильным способом продвижения вперед.

Если вы не знаете, как создать символьные ссылки с хеш-именами, я предлагаю не использовать CACertificatePath, а использовать CACertificateFileвместо них. (На самом деле это мое предложение в целом: правильное обслуживание CACertificateFile может быть немного более трудоемким, если у вас много сертификатов CA, которые часто меняются, но у вас, вероятно, не должно быть много сертификатов CA, и они в любом случае не должны сильно меняться.) .) Кроме того, похоже, что указанный Makefile исчез из дистрибутивов Apache (и общее отсутствие публичного протеста может указывать на то, сколько людей используют «путь» для хранения сертификатов :).

Все это говорит о том, что если вы все еще хотите сделать это, вы можете действовать в соответствии с тем, что сказал DerfK (либо получить старый Makefile, либо написать свой собственный скрипт / make-файл, который работает openssl x509 -noout -hashсо всеми файлами сертификатов и создает символические ссылки с соответствующими именами).

Я нашел открытую ошибку по этому поводу. Кроме загрузки старого выпуска modssl.org, упомянутого в сообщении об ошибке, и получения из него файла Makefile, кажется, что вы можете получить значение хеша, openssl x509 -in foo.crt -noout -hashхотя неясно, на что ссылается часть «.N» (возможно, это было для коллизии хеша (например, первый сертификат с хешем 12345678 имеет символическую ссылку 12345678.1, указывающую на него, второй сертификат, имеющий тот же хэш, использует .2? Или, возможно, он начинается с .0?)

Если вы получите Makefile.crtфайл из старого modssl, я думаю, что вы сделаете это, поместите его в папку со всеми вашими сертификатами и запустите make -f Makefile.crtв этой папке.