Considerando que você está usando isso na configuração do seu apache:
SSLCertificateFile /etc/apache2/cert/ssl.crt
SSLCertificateKeyFile /etc/apache2/cert/ssl.key
O arquivo /etc/apache2/cert/ssl.crt
deve conter
- certificado de por ex. yourdomain.com
- certificado da primeira CA intermediária, assinado pela CA raiz (por exemplo, CA do Servidor Intermediário Principal da Classe 1 daStartCom)
- certificado da segunda CA intermediária, assinado pela primeira CA intermediária (se houver uma segunda CA intermediária na cadeia de certificados)
Você precisa colocar todos os certificados da CA intermediária no arquivo crt. Dependendo da cadeia de certificados do seu certificado, haverá um número variável de CAs envolvidas.
Você nem precisa adicionar a CA raiz, pois ela precisa estar no armazenamento confiável de qualquer cliente; caso contrário, os clientes receberão uma página de erro. Além disso, se você adicioná-la à sua cadeia, ela será apenas sobrecarga adicional para estabelecer conexões SSL, já que ela deve ser transferida para cada nova sessão SSL. Na verdade, a maioria dos clientes também possui certificados CA intermediários instalados, mas alguns podem não ter, por exemplo. telefones celulares não têm muitos certificados de CA intermediários, então eu definitivamente adicionaria esses.
O arquivo /etc/apache2/cert/ssl.key
permanecerá o mesmo, ou seja, ele conterá a chave do certificado yourdomain.com