clarify that ktadd/ktremove are kadmin subcommands
[wiki.git] / doc / apache-client-certs.mdwn
index 76fdfcb932ca8bd9a936996f0b9b4c38893779c1..6a5311ebfac2dde785dd2418145c5edfc7fed859 100644 (file)
@@ -20,13 +20,13 @@ You'll also need a working AFS client and the Athena client certificate CA. Both
 
 In addition to the standard Apache directives needed to enable SSL, you'll need a few more before the Apache modules work as they do on scripts. Add the following directives to each vhost that will be using SSL client-side certificate authentication:
 
-    SSLCACertificateFile /etc/ssl/clientCAs.pem
+    SSLCACertificateFile /etc/ssl/certs/mitCAclient.pem
     <Location />
         AuthSSLCertVar SSL_CLIENT_S_DN_Email
         AuthSSLCertStripSuffix "@MIT.EDU"
     </Location>
 
-You also need to require certificate authentication. You can either use `SSLVerifyClient required` or `SSLVerifyClient optional`. `SSLVerifyClient required` has the downside that, if visitors don't have client-side certificates, they'll get an obscure OpenSSL error. However, Safari will not present certificates to a site with `SSLVerifyClient optional` set unless the user sets up an Identity Preference. For reference, scripts.mit.edu sets `SSLVerifyClient optional`.
+You also need to require certificate authentication. You can either use `SSLVerifyClient require` or `SSLVerifyClient optional`. `SSLVerifyClient require` has the downside that, if visitors don't have client-side certificates, they'll get an obscure OpenSSL error. However, Safari will not present certificates to a site with `SSLVerifyClient optional` set unless the user sets up an Identity Preference. For reference, scripts.mit.edu sets `SSLVerifyClient optional`.
 
 You'll also need to enable the Apache modules.