Hallo!

Ich gebe zu mir ist für die Frage irgendwie kein gescheiter Titel eingefallen. Mir geht es um folgendes:

Ich habe auf meinem Apache Webserver ein selbst erstelltes Zertifikat installiert und mit einem VHost verbunden. Funktioniert prima.

Nun will ich mit Indy auf den VHost zugreifen. HTTPClient und SSLIOHandler konfiguriert. Läuft auch. Im OnVerifyPeer muss ich zwar den X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT Fehler abfangen, aber sonst kein Problem.

Was ich an den Zertifikat nicht verstehe: Auf dem Server habe ich mit "openssl" drei Dateien erzeugt: eine .csr, eine .key und eine .crt. Im Apache VHost abe ich die die .key und die .crt angegeben. Die .crt scheint er bei einem GET-Request an den Client auszuliefern. Der Client scheint dann Infos aus der .crt an den Server zurück zu senden und die Verbindung damit zu verschlüsseln.

Was ich nicht verstehe: Wenn der Server das Client-Zertifikat selbst ausliefert, ist das dann nicht eine dicke Sicherheitslücke? Müsste man das nicht vielmehr mit seinem Setup mitliefern? Ich gaub, ich steh da auf dem Schlauch

Grüße
Cody