Hallo, ich hab noch kein auth mit Zertifikaten gemacht, jedoch muss laut Doku ein Zertifikat bestimmt werden.
SSLCACertificateFile "/path/to/ca.crt" Zu deiner anderen Frage: Ja, es dies Verhalten so gewünscht, damit niemand eine Man in the Middle Attack durchführen kann[1] Wenn Du den apache 2.2.15 oder neuer hast und nicht nur ein backport oder ein einfaches Schließen dieser Sicherheitslücke, dann kannst Du mit SSLInsecureRenegotiation on das alte Verhalten notfalls wieder herbeiführen. Wobei ich sagen muss, dass dies nicht immer klappt. In debian beispielweise wurde nur das renegotiation deaktiviert und nicht das patch eingespielt welches von apache.org angeboten wurde. Gruß Mario [1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2009-3555 -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [email protected] sonstige Anfragen an [email protected] --------------------------------------------------------------------------
