SSLCertificateChainFile Aviso de descontinuação no Apache 2.4.8+

Question

SSLCertificateChainFile Aviso de descontinuação no Apache 2.4.8+

#1 resposta do (7 votos)
#2 resposta do (5 votos)
#3 resposta do (4 votos)

12

Temos um certificado SSL para o nosso site da Network Solutions. Depois de atualizar o Apache / OpenSSL para a versão 2.4.9, agora recebo o seguinte aviso ao iniciar o HTTPD:

AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is deprecated, SSLCertificateFile should be used instead

De acordo com o manual do Apache para mod_ssl , este é realmente o caso:

SSLCertificateChainFile is deprecated

SSLCertificateChainFile became obsolete with version 2.4.8, when SSLCertificateFile was extended to also load intermediate CA certificates from the server certificate file.

Pesquisando a documentação do SSLCertificateFile , parecia que eu precisava substituir minha chamada para SSLCertificateChainFile com SSLCertificateFile .

Esta mudança transformou o meu ssl.conf disto:

SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt
SSLCertificateKeyFile /etc/ssl/server.key
SSLCertificateChainFile /etc/ssl/Apache_Plesk_Install.txt

para isso:

SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt
SSLCertificateFile /etc/ssl/Apache_Plesk_Install.txt
SSLCertificateKeyFile /etc/ssl/server.key

... mas isso não funciona. O Apache simplesmente se recusa a iniciar sem qualquer mensagem de erro.

Não sei mais o que tentar aqui, pois não estou familiarizado com os certificados mod_ssl ou SSL em geral. Eu lembro que precisávamos adicionar o arquivo Apache_Plesk_Install.txt para o Internet Explorer para não ter um aviso SSL em nosso site, mas além disso eu não tenho nenhuma pista.

Qualquer ajuda seria muito apreciada. Obrigado.

mod-ssl apache-2.4 certificate ssl-certificate

por DOOManiac 14.04.2014 / 22:24

3 respostas

Tags mod-ssl apache-2.4 certificate ssl-certificate

nginx: copia solicitações HTTP para depuração As desvantagens de usar o nginx como servidor web primário?

score 7 · Answer 1

Eu tive o mesmo problema. Acabei de substituir essas linhas em /etc/apache2/site-enabled/default-ssl.conf

SSLCertificateFile    /etc/ssl/certs/domain.crt
SSLCertificateKeyFile /etc/ssl/private/domain.key
#SSLCertificateChainFile /etc/apache2/ssl.crt/chain.crt

Como você pode ver, acabei de comentar o SSLCertificateChainFile . Então, vendo o mesmo erro que você, concatenei o conteúdo do meu chain.crt no final do domain.crt , assim:

root@host~: cat /etc/apache2/ssl.crt/chain.crt >> /etc/ssl/certs/domain.crt

E funcionou como um encanto.

score 5 · Answer 2

Eu uso o seguinte script para criar um pacote de certificado que contém o certificado encadeado.

#!/bin/sh
#
# Convert PEM Certificate to ca-bundle.crt format
#

test ! $1 && printf "Usage: 'basename $0' certificate" && exit 1

# Friendly Name and Underline Friendly Name with equal signs
openssl x509 -in $1 -text -noout | sed -e 's/^  *Subject:.*CN=\([^,]*\).*//p;t  c' -e 'd;:c' -e 's/./=/g'
# Output Fingerprint and swap = for :
openssl x509 -in $1 -noout -fingerprint | sed -e 's/=/: /'
# Output PEM Data:
echo 'PEM Data:'
# Output Certificate
openssl x509 -in $1
# Output Certificate text swapping Certificate with Certificate Ingredients
openssl x509 -in $1 -text -noout | sed -e 's/^Certificate:/Certificate Ingredients:/'

Para usá-lo, começando com o certificado do servidor e sequencialmente, por meio de certificados intermediários na cadeia de certificados, até o certificado raiz.

./bundle.sh myserver.crt >myserver.chain
./bundle.sh intermediate.crt >>myserver.chain
./bundle.sh root.crt >>myserver.chain

em que os nomes de certificados apropriados são substituídos pelo seu nome de certificado real.

score 4 · Answer 3

Ter o certificado do site, os intermediários em um arquivo especificado pela diretiva SSLCertificateFile e a chave privada concatenada em um arquivo especificado pelo SSLCertificateKeyFile e você deve estar definido. Embora você possa ter a chave privada no mesmo arquivo que os certificados, mas isso é desencorajado. Por favor, verifique a documentação para mais detalhes: link
Eu recomendaria que o certificado da CA raiz não faça parte do SSLCertificateFile, pois o cliente deve ter o certificado da CA raiz como confiável para que a validação do certificado funcione conforme projetado. Além disso, se não houver nada nos logs de erro do apache, é possível colocar o log de erros em uma granularidade mais fina, como em link