Вопросы Теги

Apache удержал от использования директиву (AH02559) SSLCertificateChainFile

Недавно я обновил Apache от 2,2 до 2,4, и я не могу выяснить, как удержать от использования a SSLCertificateChainFile директива.

Ошибка:

me@jessie:~$ sudo apache2ctl configtest 
AH02559: The SSLCertificateChainFile directive (/etc/apache2/sites-enabled/https.conf:103) is deprecated, SSLCertificateFile should be used instead
Syntax OK

Мои текущие настройки:

SSLCertificateFile    /etc/apache2/cert/ssl.crt
SSLCertificateKeyFile /etc/apache2/cert/ssl.key
SSLCertificateChainFile /etc/apache2/cert/sub.class1.server.sha2.ca.pem
SSLCACertificateFile /etc/apache2/cert/ca.pem

Сертификат подписывается StartCOM. В руководстве говорится, теперь целая цепочка должна быть в одном файле, указанном SSLCertificateFile директива, но я не знаю, какие ключи и в котором порядке я должен конкатенировать в этот файл.

8
задан 9 January 2016 в 15:09
2 ответа

Учитывая, что вы используете это в своей конфигурации apache: 

SSLCertificateFile    /etc/apache2/cert/ssl.crt
SSLCertificateKeyFile /etc/apache2/cert/ssl.key

Файл /etc/apache2/cert/ssl.crt должен содержать

  1. сертификат, например yourdomain.com
  2. сертификат первого промежуточного ЦС,подписанный корневым ЦС (например, ЦС первичного промежуточного сервера StartCom класса 1)
  3. сертификат второго промежуточного ЦС, подписанный первым промежуточным ЦС (если в вашей цепочке сертификатов есть второй промежуточный ЦС)

Вам необходимо поместить все промежуточные ЦС Сертификаты ЦС в файле crt. В зависимости от цепочки сертификатов вашего сертификата будет различное количество задействованных центров сертификации.

Вам даже не нужно добавлять корневой CA, так как он должен находиться в хранилище доверенных сертификатов любых клиентов, иначе клиенты получат страница ошибок также, если вы добавите ее в свою цепочку, это будет просто дополнительными накладными расходами для установления SSL-соединений, так как ее необходимо передавать для каждого нового сеанса SSL. На самом деле у большинства клиентов также будут установлены промежуточные сертификаты CA, но у некоторых может не быть, например на мобильных телефонах не так много промежуточных сертификатов CA, поэтому я бы обязательно добавил их.

Файл /etc/apache2/cert/ssl.key останется прежним, то есть он будет содержать ключ для сертификата yourdomain.com

8
ответ дан 2 December 2019 в 23:00

Хорошо, в последнее время я наконец понял это и решил опубликовать детали в форме ответа.

Теперь StartSSL помещает сертификат в zip-архив, когда вы его извлекаете, и есть много включенных архивов здесь особенно интересен ApacheServer.zip , форма, совместимая с Apache> 2.4. В папке Apache находятся следующие файлы: 

1_root_bundle.crt
2_myhost.tld.crt

Вы должны сварить SSLCertificateFile из обоих этих сертификатов, но в таком порядке: 

cat 2_myhost.tld.crt 1_root_bundle.crt > myhost.tld_combined.crt

Итак, в конфигурации сайта это будет просто: 

    SSLCertificateFile    /etc/apache2/cert/myhost.tld_combined.crt
    SSLCertificateKeyFile /etc/apache2/cert/myhost.tld.key

И все будет хорошо, даже Qualys SSL Test .

Это работает для StartCom StartSSL, а также для сертификатов WoSign. Формат такой же.

1
ответ дан 2 December 2019 в 23:00

Теги

Похожие вопросы