apache/APACHE.notes

   1 The apache config as it ships in unfold.conf defines a port
   2 (currently 443) where SSL client-auth is enforced
   3
   4 The idea being to have the browser prompting our user for a
   5 certificate - instead of leaving that optional, which we believe is
   6 something nobody will ever use if it's optional.
   7
   8 A few notes and caveats must be outlined though below; see also unfold-init-ssl.sh about that
   9
  10 * as of this writing quite a lot of what is below would be taken care
  11   of by the packaging stuff once/if it works;
  12   the notes below are intended to help in this respect.
  13
  14 * all the local material for this deployment gets into /etc/unfold/
  15
  16 * I could not find a way to have client-auth without server auth;
  17   this is totally weird, and stupid, but just so
  18   so there is a need to install a (probably self-signed) cert
  19   and related key in
  20 /etc/unfold/myslice.cert
  21 /etc/unfold/myslice.key
  22   see init-ssl.sh for how to create these
  23
  24 * Now the trusted roots - that we do need in our case - are expected in
  25 /etc/unfold/trusted_roots
  26  this of course is a user choice, e.g.:
  27 /etc/unfold/trusted_roots/plc.gid
  28 /etc/unfold/trusted_roots/ple.gid
  29