Chrome không nhắc sử dụng chứng chỉ cục bộ sau khi thiết lập xác thực chứng chỉ ứng dụng khách trên Apache

tôi đã sử dụng hướng dẫn này để thiết lập xác thực chứng chỉ ứng dụng khách trên Apache.

Tôi đã xác minh chứng chỉ của mình bằng cách sử dụng xác minh openssl (nó hợp lệ), tôi cũng đã nhập thành công tệp PFX vào Chuỗi khóa macOS của mình và đặt thành "Luôn tin tưởng".

Ngoài ra, tôi đã tạo một cái mới .htaccess tài liệu trong /quản trị viên thư mục trang web của tôi và điền vào đó hai dòng:

Yêu cầu SSLVerifyClient
SSLVerifyDepth 10

Tất nhiên, ý tưởng là giới hạn quyền truy cập vào bảng quản trị thông qua chứng chỉ ứng dụng khách.

Bây giờ, khi tôi truy cập /quản trị viên trong Chrome, tôi hiểu điều này:

Vì vậy, những điều có vẻ làm việc. Vấn đề là trình duyệt không nhắc tôi cung cấp chứng chỉ cục bộ mà tôi đã nhập trong Keychain theo bất kỳ cách nào, điều này ngăn cản tôi thực sự truy cập vào /quản trị viên nguồn.

Tôi đang thiếu gì?

Chrome không hỗ trợ xác thực sau handhsake, nghĩa là thương lượng lại SSL và gửi chứng chỉ ứng dụng khách khi kết nối đã được thiết lập, bởi vì (từ trang báo cáo lỗi của Chrome)

Xác thực sau bắt tay có rất nhiều vấn đề về bảo mật, ngữ nghĩa và DoS. (...) Một số công việc cụ thể là cần thiết để làm cho nó hoàn toàn được xác định trong HTTP/1.1 và quan trọng hơn, không được xác định rõ ràng trong HTTP/2 để có lợi cho giải pháp thân thiện với ghép kênh (...)

Trong Firefox, bạn có thể bật tính năng này nhưng tính năng này không được bật theo mặc định, vì những lý do tương tự mà Chrome không triển khai tính năng này.

Bạn có thể kiểm tra các báo cáo lỗi (firefox, Trình duyệt Chrome) để biết thêm thông tin.

Tôi nghĩ những gì bạn có thể làm là thiết lập SSLVerifyClient đến không bắt buộc, di chuyển nó đến Máy chủ ảo cấp độ (với bất kỳ SSL* chỉ thị, vì vậy chứng chỉ sẽ được yêu cầu trong quá trình bắt tay) và yêu cầu phải có chứng chỉ trong .htaccess tập tin như thế này:

AuthName "Tài nguyên quản trị"
AuthType cơ bản
Yêu cầu ssl-verify-client