Bien sur, vous pourriez demander à vos partenaires de se procurer un certificat par eux même, et suivre le procédé Authentification forte avec Apache et certificats délivrés par de multiples CA . Ils risquent néanmoins de ne pas réussir à s'en procurer, parce que c'est trop compliqué ou trop couteux, à moins qu'un de vos prestataires s'occupe de déploiement.

L'autre solution consiste à leur délivrer vous même le certificat à utiliser. Impossible d'utiliser une offre TBS X509 PKI, car elle ne permet de délivrer des certificats qu'à votre personnel en interne.

Vous pouvez par contre utiliser un certificat de type TBS X509 Sign&Login ou TBS X509 Email (Voir les certificats utilisateurs). Vous pouvez commander ces certificats pour vos partenaires ou clients (contact administratif = votre partenaire, contact technique = vous même).

Il vous est possible de faire toute la procédure d'obtention vous même ou de faire participer votre partenaire (mode invitation). Exemple:

1. Déposez la demande de certificat chez nous. La génération du CSR se fera via votre navigateur web (vous pouvez aussi l'effectuer à la main avec openssl). Soit vous mettez la facture à votre nom et la réglez, soit l'utilisateur final devra la payer.
2. Nous auditons votre demande. En particulier nous appelons le contact administratif pour nous assurer de son accord. Il est particulièrement important qu'il soit au courant de la demande de certificat et qu'il accepte que vous lui fournissiez le certificat.
3. Téléchargez le certificat dans votre navigateur et la chaine de certification
4. Exportez le certificat et la clef privée au format pkcs#12 (vous pouvez aussi le fabriquer à la main avec openssl)
5. Fournissez ce pkcs#12 à l'utilisateur final avec les instructions d'important dans son navigateur

Dans votre VirtualHost SSL, placez deux instructions:

SSLCARevocationPath conf/ssl.crl/
SSLCACertificateFile conf/chain-mon-pki.txt

Gestion des listes de révocation dans Apache

L'instruction SSLCACertificateFile décrit la chaîne de certification des certificats acceptés (donc celle de TBS X509 CA persona ). Consultez Certificats intermédiaires pour trouver l'autorité qui signe vos certificats et stockez dans un fichier texte le certificat affiché dans la page. Puis utilisez le lien "chaîné avec" pour remonter au niveau supérieur et ajoutez le certificat trouvé en dessous du certificat précédent. Ainsi de suite jusqu'à ce qu'il n'y ait plus de lien supérieur. Placez le fichier ainsi constitué dans conf/chain-mon-pki.txt

SSLRequireSSL
SSLVerifyClient require
SSLVerifyDepth 4

Vous pouvez en rester là pour la configuration et vous reposer sur l'application pour attribuer les autorisations en fonction de chaque certificat.

Vous pouvez également utiliser un filtre comme ci-dessous:

SSLRequire  %{SSL_CLIENT_I_DN} eq "/C=FR/ST=Calvados/L=Caen/O=TBS INTERNET/OU=Terms and Conditions: http://www.tbs-internet.com/CA/repository/OU=TBS INTERNET CA/CN=TBS X509 CA persona" \
and ( ( %{SSL_CLIENT_S_DN_O} eq "NOM-DE-LA-SOCIETE" and %{SSL_CLIENT_S_DN_CN} eq "ref1" ) \
or ( %{SSL_CLIENT_S_DN_O} eq "NOM-SOCIETE2" and %{SSL_CLIENT_S_DN_CN} eq "ref2" ) \
or ( %{SSL_CLIENT_S_DN_O} eq "NOM-SOCIETE3" and %{SSL_CLIENT_S_DN_CN} eq "ref3" ) \
)

Vous pourriez aussi filtrer sur d'autres champs, par exemple le numéro de série. Voir la documentation Apache pour connaitre les champs disponibles.

SSLOptions           +FakeBasicAuth
AuthName             "Acces par certificat"
AuthType             Basic
AuthUserFile         conf/certificats.passwd
require              valid-user

/C=DE/L=Munich/O=Snake Oil, Ltd./OU=Staff/CN=Foo:xxj31ZMTZzkVA
/C=US/L=S.F./O=Snake Oil, Ltd./OU=CA/CN=Bar:xxj31ZMTZzkVA
/C=US/L=L.A./O=Snake Oil, Ltd./OU=Dev/CN=Quux:xxj31ZMTZzkVA

Pour connaitre le sujet d'un certificat, il suffit de faire:

openssl x509 -subject -noout -in fichier-certificat.cer