Авторизация апача самоподписными сертификатами

[andreydunin]

Преамбула
Столкнулся с обычной задачей, причем год назад а ее как-то решил и не было сил ни времени записать. Сейчас же сертификат закончился и приходится начинать все заново. Последние 2 суток лопачу документацию и маны и не нахожу ответов на МНОГИЕ вопросы. В это смысле фак альта оказался поистине бесполезным.

Задача:
Организовать авторизацию на сайте используя самоподписные сертификаты
одна головная орг  и куча мелких сайтов\служб

Система: Кентавр 7

Прочитанно:

• http://www.altlinux.org/%D0%A1%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D0%B2_PKCS12#.D0.A8.D0.B0.D0.B3_3._.D0.A1.D0.BE.D0.B7.D0.B4.D0.B0.D1.91.D0.BC_.D0.BF.D0.BE.D0.BB.D1.8C.D0.B7.D0.BE.D0.B2.D0.B0.D1.82.D0.B5.D0.BB.D1.8C.D1.81.D0.BA.D0.B8.D0.B9_.D1.81.D0.B5.D1.80.D1.82.D0.B8.D1.84.D0.B8.D0.BA.D0.B0.D1.82
  http://ru-apache.livejournal.com/62985.html
• Еще куча несознательных сайтов

По второй ссылку удалось наладить запрос сертификата от клиента к серверу (пусть и с руганью на самоподписной сертификат)

Пытаюсь создать скрипт генерации скриптов в пустом каталоге

Код: [Выделить]

#!/bin/bash
echo -e "Пользователь сертификата?: \c "
read  name

mkdir private
mkdir certs
echo '100001' >serial
touch certindex.txt

echo Создаем корневой сертификат:
openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 5365 -config ./openssl.conf

#openssl req -new -nodes -out $name-req.pem -keyout private/$name-key.pem -days 5365 -config ./openssl.conf

#openssl ca -out $name-cert.pem -days 5365 -config ./openssl.conf -infiles $name-req.pem

#openssl pkcs12 -export -in $name-cert.pem -inkey private/$name-key.pem -certfile cacert.pem -name "description" -out $name-cert.p12
 
#openssl req -new -newkey rsa:1024 -nodes -keyout server.key -x509 -days 5365 -config ./openssl.conf -out server.crt
openssl req -new -newkey rsa:1024 -nodes -keyout private/ca.key -x509 -days 5365 -config ./openssl.conf -out certs/ca.crt

echo Создаем пользовательский сертификат:
openssl req -new -newkey rsa:1024 -nodes -keyout private/$name.key -config ./openssl.conf -out certs/$name.csr

echo Подписываем пользовательский сертификат:
#openssl ca -config ./openssl.conf -in certs/$name.csr -out certs/$name.crt -batch
openssl ca -cert certs/ca.crt -keyfile private/ca.key -in certs/$name.csr -out certs/$name.crt -batch

echo Выгружаем пользовательский сертификат:
#openssl pkcs12 -export -in certs/$name.crt -inkey private/$name.key  -certfile cacert.crt -out $name.p12
openssl pkcs12 -export -in certs/$name.crt -inkey private/$name.key -certfile cacert.pem -name "description" -out $name-cert.p12
В любом случае после установки в апачь выдает ошибку проверки подписи или обмена ключами. (Код ошибки: ssl_error_decrypt_error_alert)

Теперь собственно вопросы:
1) В центе управления кентавром есть разделы удостоверяющий цент и центр управления ключами- могут ли они помочь в решении задачи. алгоритм работы? Желательно подробно свести в одну тему и защиту апача и работу по ssh. Ибо инструмент есть а инструкций нет ;(
2) Решение задачи из командной строки - готовый рецепт для кентавра - или рабочая ссылка на таковой.
3) Если найдется ссылка на хороший текст "введение в SSL" буду благодарен.