環境が違うものの、このサイト(http://park15.wakwak.com/~unixlife/practical/openssl.html)
のとおりに設定しています。https通信は確率できていますが、クライアント認証をONにしてapache再起動->ブラウザで該当の証明書を選択してアクセス->アクセスできません。
ssl_error_logには「Certificate Verification: Error (20): unable to get local issuer certificate」
と表示されます。解決に結びつく回答には高ポイント発行しますので、よろしくおねがいします。以下、apacheの設定です。
SSLCertificateFile /etc/CA/cert.pem
SSLCertificateKeyFile /etc/CA/SERVER/servernopass.key
#SSLCertificateChainFile /etc/CA/cacert.pem
SSLCertificateFile /etc/CA/cacert.pem
SSLCARevocationPath /etc/CA/CLIENT
SSLCARevocationFile /etc/CA/CLIENT/clcert.pem
SSLVerifyClient require
SSLCertificateFile /etc/CA/cert.pem SSLCertificateFile /etc/CA/cacert.pem
と、SSLCertificateFile が2回指定されているのが気になりますね。
これはサーバーに対し発行された証明書ファイルなので1つしか意味を持ちません。
あと SSLCARevocationFile をしている場合は SSLCARevocationPath はいらないはず。
これだけでうまくといくとは思えませんがまずはこのあたりから。
SSLCACertificateFile /etc/CA/cacert.pem
と「CA」が抜けていました!ありがとうございます。これにて、FireFox2.0で閲覧できるようになりました。ただ、IE6では、ssl_error_logにはエラー出力されないのですが、アクセスはできません。
IEとFirefoxで挙動が違うようです。IEがメインブラウザのため、もう少しさぐってみます。