SSLVerifyClient ignorować datę ważności

Question

Mam usługę internetową i jest skonfigurowany do weryfikacji certyfikatów klienta

SSLCACertificateFile /xxxx/rootca-cert.pem 

<Location /manage/ccc> 
    SSLVerifyClient require 
    SSLVerifyDepth 1 
    SSLOptions +StdEnvVars 
</Location> 

Moi klienci są wszystkie uruchomione z certyfikatów podpisanych przez ten rootca-cert.pem.

Mój problem polega na tym, że plik rootca wkrótce straci ważność i nie jest mi łatwo zaktualizować certyfikaty po stronie klienta. Czy możliwe jest skonfigurowanie apache, aby kontynuować weryfikację certyfikatów klienta, ale ignorować fakt, że zarówno rootca, jak i certyfikaty klienta wygasły?

Answer 1

Apache mod_ssl nie pozwala ignorować wygasłych certyfikatów, nawet jeśli używa się "optional_no_ca". Jedyną poprawką jest łatanie kodu mod_ssl lub ustawienie czasu serwera na czas.