Я управляю веб-сервером apache для правительственного сайта. Срок действия сертификата SSL истечет через несколько недель, поэтому они отправили мне zip-файл с 3 промежуточными diate certs и ssl-сертификат (у меня есть закрытый ключ от генератора csr и crt-файл, предоставленный gov't). Мне нужно объединить промежуточные сертификаты в один файл для apache2.
Вот 3 промежуточных сертификата, которые они мне прислали
Jan 1 2004 AAACertificateServices.crt
Nov 2 2018 SectigoRSADomainValidationSecureServerCA.crt
Mar 12 2019 USERTrustRSAAAACA.crt
В каком порядке я должен объединить 3 сертификата, потому что при чтении из других ссылок порядок имеет значение, если предоставляется корень. Какой из них является корневым?
Я использовал онлайн-валидатор ssl для трех сертификатов
AAACertificateServices.crt
Common Name: AAA Certificate Services
Organization: Comodo CA Limited
Locality: Salford
State: Greater Manchester
Country: GB
Valid From: December 31, 2003
Valid To: December 31, 2028
Issuer: AAA Certificate Services, Comodo CA Limited
Serial Number: 1 (0x1)
SectigoRSADomainValidationSecureServerCA.crt
Common Name: Sectigo RSA Domain Validation Secure Server CA
Organization: Sectigo Limited
Locality: Salford
State: Greater Manchester
Country: GB
Valid From: November 1, 2018
Valid To: December 31, 2030
Issuer: USERTrust RSA Certification Authority, The USERTRUST Network Write review of Sectigo
Serial Number: 7d5b5126b476ba11db74160bbc530da7
USERTrustRSAAAACA.crt
Common Name: USERTrust RSA Certification Authority
Organization: The USERTRUST Network
Locality: Jersey City
State: New Jersey
Country: US
Valid From: March 11, 2019
Valid To: December 31, 2028
Issuer: AAA Certificate Services, Comodo CA Limited Write review of Sectigo
Serial Number: 3972443af922b751d7d36c10dd313595
С тех пор, как это было серой зоной для меня Я использовал LetEncrypt, и они автоматически объединяют промежуточные сертификаты в один файл.
Предполагается, что сначала должен быть указан конечный сертификат (сертификат домена), а затем каждый сертификат, который подписывает предыдущий, пока не достигнет корневого сертификата. В поле «эмитент» в основном указано, какое лицо подписало этот сертификат. Корнем является AAACertificateServices, поскольку он подписывает сам себя (эмитент соответствует теме).
В этом случае это будет:
Для httpd до 2.4.8 создайте файл для 2,3,4 и используйте SSLCertificateChainFile. Для httpd 2.4.8 или более поздней версии сделайте один файл с 1-4.
Корневой сертификат (в данном случае № 4) необязательно включать в любом случае, обычно рекомендуется его не указывать. По-видимому, его включение может привести к улучшению сообщений об ошибках на стороне клиента для старых клиентов Windows, если сертификат не является доверенным.
AAACertificateServices.crt — это корневой сертификат согласно https://www.ssl.com/article/ssl-com-root-certificates/
SectigoRSAOrganizationValidationSecureServerCA имеет средний уровень 1 или 2
USERTrustRSAAAACA — промежуточный 1 или 2
конечный/доменный сертификат — это (сертификат SSL, который они вам предоставляют)
Порядок, который я использовал почти каждый раз, — корневой, промежуточный и доменный сертификат:
Редактировать: импортировать все 3 в уже созданный файл хранилища ключей (веб-сервер tomcat).