Моя компания размещает example.com и sub.example.com на том же сервере, с помощью подстановочного сертификата SSL для *.example.com. Теперь пора возобновить наш сертификат, и мы не уверены, как мы получили тот сертификат. Мой босс не думает, что мы заплатили 200$, которых они, кажется, стоят. Мой старый менеджер (кто покинул компанию несколько дней назад) был тем для установки ее, и он не помнит точно, что он сделал, но он думает, что должен был генерировать что-то вместо того, чтобы просто использовать файлы, которые нам дали Приблизительно.
Апачская конфигурация имеет эти строки и никого другого непрокомментированные строки SSL*File:
SSLCertificateFile /usr/local/ssl/cert/example.com.crt
SSLCACertificateFile /usr/local/ssl/cert/intermediate.crt
SSLCertificateKeyFile /usr/local/ssl/private/example.com-wild.key
Когда я исследую intermediate.crt (openssl x509 -in intermediate.crt -text -noout
), это не упоминает нашу организацию или веб-сайт вообще, и это - допустимый 2010-2020.
Data:
Version: 3 (0x2)
Serial Number: 145105 (0x236d1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
Validity
Not Before: Feb 19 22:45:05 2010 GMT
Not After : Feb 18 22:45:05 2020 GMT
Subject: C=US, O=GeoTrust, Inc., CN=RapidSSL CAb
example.com.crt является подстановочным знаком:
Data:
Version: 3 (0x2)
Serial Number: 1113972 (0x10ff74)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust, Inc., CN=RapidSSL CA
Validity
Not Before: Mar 1 09:05:39 2014 GMT
Not After : Mar 4 09:08:54 2015 GMT
Subject: serialNumber=T0nuTvfeaQVtd3dZ30zGI94HrvUsoRjx, OU=GT53409919, OU=See www.rapidssl.com/resources/cps (c)14, OU=Domain Control Validated - RapidSSL(R), CN=*.example.com
Я не понимаю инфраструктуру SSL, таким образом, я предполагаю, что у меня есть набор связанных вопросов. Я приношу извинения, если они, оказывается, не вообще связаны; я не знаю то, что я не знаю.
Как мы получали Wildcard-сертификат, если мы не заплатили 200$ или безотносительно для него? (Я был бы умеренно удивлен возможно, ли мы, создали его только с intermediate.crt, потому что затем мы могли продолжать генерировать их до 2020. Но нет никаких других файлов в/usr/local/ssl и ничего в/etc/pki/tls, это было изменено с 2013, поэтому что еще мы будем использовать? Я был бы также умеренно удивлен, просто ли мой босс misremembering, и мы действительно платили 200$ или что-то, но это действительно кажется возможным мне.)
Где мы получали intermediate.crt?
Что делает intermediate.crt? У меня есть самоподписанный Wildcard-сертификат, который хорошо работает (за исключением того, что он самоподписывается) на наших бета серверах, без строки SSLCACertificateFile; и мы купили не-Wildcard-сертификат, который защищает example.com, который мне удалось установить использование VirtualHost без SSLCACertificateFile, и мы находимся в процессе получения сертификата для sub.example.com, который я планирую установить тот же путь. SSLCACertificateFile необходим для несамоподписанных Wildcard-сертификатов?
Путем я генерировал самоподписанный сертификат, чувствует, что он мог бы быть связан:
openssl req -nodes -new -keyout private/example.com.key -out certs/intermediate.csr
openssl x509 -req -days 365 -in certs/intermediate.csr -signkey private/file.key -out certs/example.com.crt
но я не должен упоминать intermediate.csr в апачской конфигурации в этом случае, и intermediate.csr не может быть исследован openssl x509
как intermediate.crt файл может.
Как мы получили групповой сертификат, если мы не заплатили за него 200 долларов или что-то еще?
Более дешевый CA, чем вы нашли сейчас? Я уверен, что вы найдете продавца с более низкими ценами.
Где мы взяли промежуточный.crt? Что делает intermediate.crt?
Вы получили его из вашего центра сертификации. CA обычно не подписывают сертификаты напрямую своими корневыми сертификатами, а делают это через промежуточный сертификат. Этот промежуточный сертификат подписывает сертификаты для клиента и, в свою очередь, подписывается корневым сертификатом, которому доверяют браузеры и ОС. Это называется цепочкой сертификатов, а также является причиной того, что для Apache SSLCACertificateFile
существует отдельный параметр для предоставления этой цепочки от сертификата веб-сайта до сертификата CA.
У меня есть самозаверяющий сертификат с подстановочными знаками, который отлично работает (за исключением того, что он самоподписанный) в нашей бета-версии серверы без строки SSLCACertificateFile;
Тогда обозреватель, который вы тестировали, также доверяет промежуточному сертификату, но вы не можете полагаться на него. Вы также можете использовать инструмент SSLLabs ssltest , чтобы проверить, не является ли ваша цепочка неполной или пропущена промежуточная (там называется дополнительная загрузка).
Требуется ли SSLCACertificateFile для несамоподписанных групповых сертификатов?
Нет, потому что в этом случае нет цепочки сертификатов, см. выше.
Судя по деталям в вашем сертификате и промежуточному звену, кажется довольно ясным, что ваш старый менеджер действительно заплатил любую цену за сертификат с подстановочными знаками от RapidSSL год назад. Скорее всего, ему пришлось сгенерировать запрос сертификата для отправки в RapidSSL.