2.3.150 SSLExportCertChainDepth
環境変数SSL_CLIENT_CERT_CHAIN_nにクライアントの証明書を発行したCAからルートCAまでの証明書を設定するときに指定します。
説明
SSLクライアント認証をする場合、環境変数SSL_CLIENT_CERT_CHAIN_nにクライアントの証明書を発行したCAからルートCAまでの証明書を設定するときに指定します。指定した値がnの最大値になります。このディレクティブはSSLExportClientCertificatesディレクティブを指定している場合だけ有効になります。指定された数のCA証明書がgcacheサーバへキャッシュされるため、CGIまたはServletで必要な数だけをこのディレクティブに指定することでキャッシュを有効に利用できます。ただし、メモリーの制限でキャッシュされた一部の証明書が削除されて取得できなかった場合は、取得できたものだけを環境変数に設定します。
書式
SSLExportCertChainDepth 値
指定できる値
- 0
-
環境変数は設定しません。
- 1〜9
-
クライアントの証明書に近い方から順に番号が割り当てられ、環境変数を設定します。環境変数にはDER形式の証明書をBase64エンコーディングした値を設定します。1つの証明書をBase64エンコーディングした場合のバイト数は約1KBです。
デフォルト値
- 定義項目の省略
-
0
記述できる場所
httpsd.conf、<VirtualHost>
記述例
- 「ルートCA−下位CA−クライアント証明書」という証明書チェーンの場合
-
環境変数と証明書の対応は次のようになります。
環境変数
証明書
SSL_CLIENT_CERT
クライアント証明書
SSL_CLIENT_CERT_CHAIN_1
下位CAの証明書
SSL_CLIENT_CERT_CHAIN_2
ルートCAの証明書
この環境変数と証明書チェーンをすべて取得するには、次のようにディレクティブを指定します。
SSLExportClientCertificates SSLExportCertChainDepth 2
SSLExportCertChainDepthには、2以上の値を指定します。