Posso usar os certificados RSA e ECC no apache?

Question

Posso usar os certificados RSA e ECC no apache?

#1 resposta do (2 votos)

5

Se eu simplesmente usar "SSLCertificateFile" e "SSLCertificateKeyFile" duas vezes, a cadeia de certificados será quebrada para a primeira.

Posso usar certificados RSA e ECC emitidos a partir de certificados de CA intermediários diferentes?

==================

Atualização: OpenSSL 1.0.2 resolve o problema. Basta usar "SSLCertificateFile" e "SSLCertificateKeyFile" duas vezes. Observe que "SSLCertificateFile" deve ser toda a cadeia do certificado.

ssl mod-ssl apache-2.4 certificate ssl-certificate

por lizitian 05.02.2015 / 16:38

1 resposta

Tags ssl mod-ssl apache-2.4 certificate ssl-certificate

Use certificados Letsencrypt para o Postgresql não pode remover o dispositivo defeituoso do espelho LVM2 raid1

score 2 · Answer 1

Isso é possível dependendo da versão do Apache e da versão do OpenSSL.

Execução de ECC & Os certificados RSA em paralelo no Apache usando certificados intermediários diferentes exigem o Apache 2.4.8+ e o OpenSSL 1.0.2+.

A entrada sslcertificatefile adicionou suporte para intermediários a partir do Apache 2.4.8. O OpenSSL adiciona a capacidade de carregar intermediários por certificado na versão 1.0.2.

The files may also include intermediate CA certificates, sorted from leaf to root. This is supported with version 2.4.8 and later, and obsoletes SSLCertificateChainFile. When running with OpenSSL 1.0.2 or later, this allows to configure the intermediate CA chain on a per-certificate basis.

Source: http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcertificatefile

Embora versões anteriores do Apache suportem várias entradas sslcertificatefile , ele não carregará intermediários dessas entradas e o SSLCertificateChainFile só pode ser usado uma vez. Portanto, em versões anteriores, você ainda pode executar certificados ECC / RSA / DSA em paralelo, mas todos eles devem usar o mesmo intermediário.

But be careful: Providing the certificate chain works only if you are using a single RSA or DSA based server certificate. If you are using a coupled RSA+DSA certificate pair, this will work only if actually both certificates use the same certificate chain. Else the browsers will be confused in this situation.

Source: http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#SSLCertificateChainFile