o que é “yourDomainName.ca-bundle”?

Question

o que é “yourDomainName.ca-bundle”?

#1 resposta do Henning Kockerbeck (1 votos)

1

para instalar o certificado ssl no ubuntu eu tenho que inserir essas linhas no bloco virtualHost:

SSLEngine on
SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
SSLCACertificateFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle

mas eu não entendo o que a quarta linha faz?

por Hojat Taheri 21.06.2013 / 07:39

1 resposta

Desinstalar o GRUB2 Altere a senha de um usuário com os comandos usermod e ssh

score 1 · Accepted Answer

Com certificados você está lidando com o que você pode chamar de "cadeia de confiança". É meio que "Adam diz que está chovendo lá fora. Acredito em Adam porque Bob disse que Adam é confiável. Acredito em Bob porque Christine diz que Bob é confiável" e assim por diante.

Um certificado é usado, entre outras coisas, como criptografia, como uma espécie de crachá de identificação: este site proclama ser your-website.com e pode mostrar o certificado para provar isso. Mas por que confiar no certificado? Porque foi emitido por uma instância que é confiável em si, a chamada autoridade de certificação (CA). Esta AC é operada pela empresa da qual você comprou seu certificado. Mas por que confiar nessa CA? Porque pode mostrar um certificado que é confiável. Esse segundo certificado é emitido de uma autoridade de certificação "superior". Essa autoridade de certificação "superior" tem um certificado confiável de outra CA e assim por diante. Isso continua e continua até chegar a um "certificado raiz".

Esses certificados raiz são entregues com seu navegador da web, cliente de email ou outro cliente que precisa avaliar um certificado. Se o seu navegador receber um certificado, ele verifica se ele corresponde ao site que o usa (nome de domínio e tal) e se confia na CA que emitiu o certificado. A autoridade de certificação é confiável se a autoridade de certificação "superior" que certificou essa autoridade de certificação for confiável e assim por diante. Por esse método, o navegador deve chegar em um ponto em um de seus certificados raiz. Em caso afirmativo, o navegador aceita o certificado com o qual começamos. Se não for possível criar uma cadeia de confiança de volta para um certificado raiz, ele não aceita o certificado (ou avisa sobre isso, dependendo das configurações).

Como você pode ver, nem toda CA obtém sua confiança diretamente de um certificado raiz, pode haver uma ou várias etapas intermediárias. Esses "certificados intermediários", por assim dizer, podem ser armazenados em um arquivo, como seu certificado e a chave correspondente. E a diretiva Apache SSLCACertificateFile informa onde procurar esse arquivo. Você deve receber os "certificados intermediários" junto com seu certificado ou eles devem estar disponíveis na empresa da qual você comprou o certificado.