версия 0.9.7a подписи сертификата “отчетов о openssl, неудавшейся”, но версия 0.9.8e, счастлива
Позади абстракции диски уже избыточны. Хорошо выполнять их в RAID 0 для скорости. То, что оптимально, должно использовать функциональность снимка для резервных копий. На RAID это может быть сделано путем разрушения RAID или замораживания объемов, создания снимков, затем возврата дисков нормальной эксплуатации. С другой стороны, при записи данных в единственный объем EBS и создание снимков, которое может охватить другие проблемы также, такие как отказ экземпляра, который может оставить диски RAID в непоследовательном состоянии, даже когда повторно прикреплено.
TL:DR; Используя RAID 1 излишество, лучше для подготовки к другим сценариям отказа с устойчивыми резервными копиями
Предполагая, что сертификат №3 в вашей цепочке - это тот, который находится на https://certs.godaddy.com/anonymous/repository.pki
gdroot-g2_cross.crt с отпечатком SHA1 84 1D 4A 9F C9 D3 B2 F0 CA 5F AB 95 52 5A B2 06 6A CF 83 22 ,
то есть , подписанный с использованием SHA256WithRSA . Это и есть реальный корень для Go Daddy Root Certification Authority - G2
то есть gdroot-g2.crt 47 BE AB C9 22 EA E8 0E 78 78 34 62 A7 9F 45 C2 54 FD E6 8B ,
не тот, который вы указали Центр сертификации Go Daddy Secure - G2 , который явно является промежуточным,
очевидно gdig2.crt 27 AC 93 69 FA F2 52 07 BB 26 27 CE FA CC BE 4E F9 C3 19 B8 .
(Один) OpenSSL 0.9.7 Я все еще использую один из моих систем 0.9.7d, не поддерживает SHA-2 . Он датирован 2004 годом, база 0.9.7, очевидно, датируется декабрем 2002 года, а FIPS 180-2 был опубликован в августе 2002 года.
Я предлагаю вам проверить свой сертификат объекта; он также может быть подписан с помощью SHA256. Ваш номер 1 по-видимому
это gdig2.crt , что определенно есть. Если так, они никогда не будут работать в 0.9.7; ты не видел
там ошибка, потому что он уже не прошел дальше по цепочке.
Я не уверен, что вы сможете найти коммерческий центр сертификации, который выдаст вам сертификат (и цепочку), подписанный SHA1 после вступления в силу крайнего срока NIST в начале 2014 г .; если так, вероятно, не останется действительно очень долго, и тогда вы снова столкнетесь с той же проблемой. Если клиент желает изменить их хранилище доверенных сертификатов (либо системное, без изменения кода) или пользовательское хранилище, используемое любыми клиентскими приложениями, которые вас интересуют, вы можете просто создать сертификат selfsigned-with-SHA1 для вашего серверного ключа с использованием openssl, и пусть клиент (ы?) доверяет этому. В зависимости от вашего сервера, если вы можете разделить запросы от хромых клиентов на другой порт или адрес, вы можете использовать свой домашний сертификат SHA1 только для них и ваш коммерческий сертификат SHA256 для всех остальных.