Falha ao configurar a cadeia de certificados de CA

6

Estou tentando configurar o SSL no fedora com o apache.

No meu vhost ...

SSLCertificateFile /your/path/to/crt.crt
SSLCertificateKeyFile /your/path/to/key.key
SSLCertificateChainFile /your/path/to/DigiCertCA.crt

Eu estava funcionando bem com uma chave auto-assinada, mas não consigo trabalhar com o DigiCertCA crt.

Quando eu corro

service httpd restart

Falha ao iniciar. Isto é o que eu recebo nos logs ...

[Sat Jan 29 07:57:13 2011] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suex$
[Sat Jan 29 07:57:13 2011] [error] Failed to configure CA certificate chain!

Qualquer ajuda seria muito apreciada!

Obrigado

    
por kron 29.01.2011 / 14:03

5 respostas

7

Certifique-se de que não há certificados faltando na cadeia, no arquivo SSLCertificateChainFile deve haver todos os certificados em ordem da CA primeiro e depois em qualquer certificado intermediário usado para assinar seu CRT; obter o erro.

Se você não tem nenhum certificado intermediário (olhando para a página Digicert, parece que não há nenhum link ) você deve usar SSLCACertificateFile

    
por 29.01.2011 / 14:29
4

A correção acima pode ser útil, mas para mim a correção foi esta:

Caso o link esteja:

O formato neste caso é p7b (PCKS # 7); para usar o certificado com o apache, você terá que converter isso.

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

Dentro do arquivo .cer resultante, você arquivará seu certificado x.509 junto com os certificados de CA relevantes, os dividirá em seus arquivos relevantes de .crt e ca.crt e carregará normalmente no apache.

    
por 19.09.2014 / 16:46
3

Uma atualização para um tópico antigo ...

Eu acabei de fazer isso quando criei um arquivo de cadeia de CA, catalizando o arquivo intermediário & raiz .crt arquivos juntos em um novo arquivo .ca-bundle ; A questão era que o primeiro dos arquivos cert não terminava com uma nova linha, então a linha "END" e a linha BEGIN do próximo foram unidas, como

-----END CERTIFICATE----------BEGIN CERTIFICATE----- 

Acabei de editar o arquivo e colocar a nova linha, dando:

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

E então funcionou.

    
por 17.03.2016 / 14:17
2

Bem, isso foi originalmente um comentário para @lynxman, mas foi muito longo.

Acabei de receber este problema usando o comando Let's Encrypt cert com o Arch Linux. Após a inicialização após a primeira reinicialização em alguns meses, o serviço httpd falhou com este erro:

 AH01903: Failed to configure CA certificate chain!

Primeiro, tentei renovar o certificado, pois é fácil e gratuito. Meu SSLCertificateChainFile tinha um certificado listado em vez de dois (?). Então eu comentei essa linha:

#SSLCertificateChainFile "/etc/letsencrypt/live/mywebsite.com/chain.pem"

Voila! Tudo começou bem. ¯_ (ツ) _ / ¯

    
por 04.05.2017 / 23:08
0

eu tive problema semelhante quando eu copiei certificado intermediário digicert ao salvar o certificado eu por engano eu digitei alguns caracteres no arquivo cert e não pude reiniciar o apache, mas quando eu removi os personagens e reiniciei o servidor funcionou.

    
por 21.08.2014 / 00:45