Недавно я обновил Apache от 2,2 до 2,4, и я не могу выяснить, как удержать от использования a SSLCertificateChainFile
директива.
Ошибка:
me@jessie:~$ sudo apache2ctl configtest
AH02559: The SSLCertificateChainFile directive (/etc/apache2/sites-enabled/https.conf:103) is deprecated, SSLCertificateFile should be used instead
Syntax OK
Мои текущие настройки:
SSLCertificateFile /etc/apache2/cert/ssl.crt
SSLCertificateKeyFile /etc/apache2/cert/ssl.key
SSLCertificateChainFile /etc/apache2/cert/sub.class1.server.sha2.ca.pem
SSLCACertificateFile /etc/apache2/cert/ca.pem
Сертификат подписывается StartCOM. В руководстве говорится, теперь целая цепочка должна быть в одном файле, указанном SSLCertificateFile
директива, но я не знаю, какие ключи и в котором порядке я должен конкатенировать в этот файл.
Учитывая, что вы используете это в своей конфигурации apache:
SSLCertificateFile /etc/apache2/cert/ssl.crt
SSLCertificateKeyFile /etc/apache2/cert/ssl.key
Файл /etc/apache2/cert/ssl.crt
должен содержать
Вам необходимо поместить все промежуточные ЦС Сертификаты ЦС в файле crt. В зависимости от цепочки сертификатов вашего сертификата будет различное количество задействованных центров сертификации.
Вам даже не нужно добавлять корневой CA, так как он должен находиться в хранилище доверенных сертификатов любых клиентов, иначе клиенты получат страница ошибок также, если вы добавите ее в свою цепочку, это будет просто дополнительными накладными расходами для установления SSL-соединений, так как ее необходимо передавать для каждого нового сеанса SSL. На самом деле у большинства клиентов также будут установлены промежуточные сертификаты CA, но у некоторых может не быть, например на мобильных телефонах не так много промежуточных сертификатов CA, поэтому я бы обязательно добавил их.
Файл /etc/apache2/cert/ssl.key
останется прежним, то есть он будет содержать ключ для сертификата yourdomain.com
Хорошо, в последнее время я наконец понял это и решил опубликовать детали в форме ответа.
Теперь StartSSL помещает сертификат в zip-архив, когда вы его извлекаете, и есть много включенных архивов здесь особенно интересен ApacheServer.zip
, форма, совместимая с Apache> 2.4. В папке Apache находятся следующие файлы:
1_root_bundle.crt
2_myhost.tld.crt
Вы должны сварить SSLCertificateFile
из обоих этих сертификатов, но в таком порядке:
cat 2_myhost.tld.crt 1_root_bundle.crt > myhost.tld_combined.crt
Итак, в конфигурации сайта это будет просто:
SSLCertificateFile /etc/apache2/cert/myhost.tld_combined.crt
SSLCertificateKeyFile /etc/apache2/cert/myhost.tld.key
И все будет хорошо, даже Qualys SSL Test .
Это работает для StartCom StartSSL, а также для сертификатов WoSign. Формат такой же.