HTTPS 客户端证书 Web 服务器配置

可以啊

@just1 请教下如何配置 Web 服务器哈？

@schemacs uv,firefox 都可以正常访问， chrome 提示安装证书。 你要配置 Apache 还是 nginx ？

@just1 nginx 最好， apache 也行，多谢指教哈。

@schemacs 你的意思是要出现这个错误提示吗。。

@just1 不是哈。我想问怎么配置 Nginx ，让 Android 弹出安装的界面，即第二张图。

F12 看下网络请求和代码不就知道了，反正都是 http ，浏览器看得一清二楚。

@lhbc 嗯，好办法。我 curl 没看出什么异常，难道 android 上的 chrome 做了特殊处理。

一般配置文件里加上
SSLCACertificatePath
SSLCACertificateFile
再设置
SSLVerifyClient require
验证客户端是不是有由指定 CA 签发的证书。

具体设置要看你用 nginx 还是 apache 。
应该不算是 HTTP 的一部分。

@nbndco 多谢哈，应该是这个参数： http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_verify_client

是双向认证吧？请在搜索引擎搜索
nginx 双向认证
apache 双向认证

@yeyeye 嗯，已经找到了，谢谢。

可以正常工作的配置如下

```
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
ssl_certificate /etc/letsencrypt/live/xxx.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/xxx.com/privkey.pem;

ssl_verify_client on;
ssl_verify_depth 2;
ssl_client_certificate /etc/letsencrypt/live/your-ca.pem;
```

不过新问题是， Android 上的 Chrome 会提示安装客户端证书，但是 Mac 的 Chrome 上什么提示也没有啊，是不是实现不同？后者会查看这个 ca 是否在本机的信任 ca 列表里？

直接 curl 显示：

```
<html>
<head><title>400 No required SSL certificate was sent</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<center>No required SSL certificate was sent</center>
<hr><center>nginx</center>
</body>
</html>
```

ssl_verify_client / ssl_verify_depth / ssl_client_certificate 这些东西是验证客户端身份用的，除非你只限自己一个人访问，否则不要写。