嘿，这个需求确实很实用——默认的SSL错误页对普通用户太不友好了，你想到的SSLVerifyClient optional_no_ca加Rewrite规则的思路完全正确，咱们一步步来实现这个配置：

1. 先确保OCSP验证基础配置到位 #

要检测证书吊销状态，首先得保证OCSP Stapling配置正确，这是基础：

# 启用OCSP Stapling，提升验证效率
SSLUseStapling On
SSLStaplingCache "shmcb:/var/run/ocsp(128000)"
# 指定你的CA证书路径，用于验证OCSP响应的合法性
SSLCACertificateFile /path/to/your/root-ca.crt

2. 设置客户端证书验证模式为optional_no_ca #

把验证模式改成optional_no_ca，这样既允许用户不提供证书访问（如果你的站点有公开内容的话），又会对提交的证书做完整验证（包括OCSP吊销检查）：

SSLVerifyClient optional_no_ca
# 设置证书验证深度，根据你的CA层级调整，一般设1即可
SSLVerifyDepth 1

3. 用Rewrite规则捕获吊销状态并重定向 #

Apache会在证书被吊销时设置环境变量SSL_CLIENT_REVOKED为REVOKED，咱们利用这个变量做重定向：

# 确保Rewrite模块已启用
RewriteEngine On

# 检查证书是否被吊销，匹配到就重定向到自定义页面
RewriteCond %{SSL_CLIENT_REVOKED} ^REVOKED$
RewriteRule ^(.*)$ /revoked.html [R=302,L]

这里的/revoked.html是你放在Apache文档根目录的自定义提示页面，记得替换成实际路径。

4. 针对特定安全路径的强制验证（可选） #

如果你的站点有必须用证书访问的安全区域，可以单独配置强制验证+错误跳转：

<Location /secure-api>
    # 强制用户提供客户端证书
    SSLVerifyClient require
    # 要求证书必须未被吊销
    SSLRequire %{SSL_CLIENT_REVOKED} != "REVOKED"
    # 验证失败（包括证书吊销）时跳转到自定义页面
    ErrorDocument 403 /revoked.html
</Location>

注意事项 #

• 确保mod_rewrite和mod_ssl模块已经启用，Ubuntu/Debian可以用a2enmod rewrite ssl命令启用，然后重启Apache
• 测试时可以找一张已吊销的证书验证跳转效果，避免配置错误
• 自定义的revoked.html要尽量清晰友好，告诉用户证书已失效，该联系什么部门处理

备注：内容来源于stack exchange，提问作者Tibor