Вопросы Теги

Как объединить промежуточные сертификаты в один файл

Я управляю веб-сервером apache для правительственного сайта. Срок действия сертификата SSL истечет через несколько недель, поэтому они отправили мне zip-файл с 3 промежуточными diate certs и ssl-сертификат (у меня есть закрытый ключ от генератора csr и crt-файл, предоставленный gov't). Мне нужно объединить промежуточные сертификаты в один файл для apache2.

Вот 3 промежуточных сертификата, которые они мне прислали 

Jan  1  2004 AAACertificateServices.crt
Nov  2  2018 SectigoRSADomainValidationSecureServerCA.crt
Mar 12  2019 USERTrustRSAAAACA.crt

В каком порядке я должен объединить 3 сертификата, потому что при чтении из других ссылок порядок имеет значение, если предоставляется корень. Какой из них является корневым?

Я использовал онлайн-валидатор ssl для трех сертификатов

AAACertificateServices.crt 

Common Name: AAA Certificate Services
Organization: Comodo CA Limited
Locality: Salford
State: Greater Manchester
Country: GB
Valid From: December 31, 2003
Valid To: December 31, 2028
Issuer: AAA Certificate Services, Comodo CA Limited
Serial Number: 1 (0x1)

SectigoRSADomainValidationSecureServerCA.crt 

Common Name: Sectigo RSA Domain Validation Secure Server CA
Organization: Sectigo Limited
Locality: Salford
State: Greater Manchester
Country: GB
Valid From: November 1, 2018
Valid To: December 31, 2030
Issuer: USERTrust RSA Certification Authority, The USERTRUST Network Write review of Sectigo
Serial Number: 7d5b5126b476ba11db74160bbc530da7

USERTrustRSAAAACA.crt 

Common Name: USERTrust RSA Certification Authority
Organization: The USERTRUST Network
Locality: Jersey City
State: New Jersey
Country: US
Valid From: March 11, 2019
Valid To: December 31, 2028
Issuer: AAA Certificate Services, Comodo CA Limited Write review of Sectigo
Serial Number: 3972443af922b751d7d36c10dd313595

С тех пор, как это было серой зоной для меня Я использовал LetEncrypt, и они автоматически объединяют промежуточные сертификаты в один файл.

0
задан 15 September 2020 в 17:53
2 ответа

Предполагается, что сначала должен быть указан конечный сертификат (сертификат домена), а затем каждый сертификат, который подписывает предыдущий, пока не достигнет корневого сертификата. В поле «эмитент» в основном указано, какое лицо подписало этот сертификат. Корнем является AAACertificateServices, поскольку он подписывает сам себя (эмитент соответствует теме).

В этом случае это будет:

  1. лист/сертификат домена
  2. SectigoRSADomainValidationSecureServerCA
  3. USERTrustRSAAAACA
  4. AAACertificateServices

Для httpd до 2.4.8 создайте файл для 2,3,4 и используйте SSLCertificateChainFile. Для httpd 2.4.8 или более поздней версии сделайте один файл с 1-4.

Корневой сертификат (в данном случае № 4) необязательно включать в любом случае, обычно рекомендуется его не указывать. По-видимому, его включение может привести к улучшению сообщений об ошибках на стороне клиента для старых клиентов Windows, если сертификат не является доверенным.

5
ответ дан 2 December 2020 в 23:15

  • AAACertificateServices.crt — это корневой сертификат согласно https://www.ssl.com/article/ssl-com-root-certificates/

  • SectigoRSAOrganizationValidationSecureServerCA имеет средний уровень 1 или 2

  • USERTrustRSAAAACA — промежуточный 1 или 2

  • конечный/доменный сертификат — это (сертификат SSL, который они вам предоставляют)

Порядок, который я использовал почти каждый раз, — корневой, промежуточный и доменный сертификат:

Редактировать: импортировать все 3 в уже созданный файл хранилища ключей (веб-сервер tomcat).

0
ответ дан 8 April 2021 в 20:50

Теги

Похожие вопросы