Referenciei corretamente a cadeia de certificados SSL do meu site?

Navegue suas respostas
4

A cadeia de certificados SSL de um dos meus sites está incompleta e aprendi que devo referenciar o certificado intermediário no arquivo de hosts virtuais.

Comodo me enviou dois certificados intermediários com o principal PositiveSSL, COMODORSAAddTrustCA.crt e COMODORSADomainValidationSecureServerCA.crt. Ambos estão no formato 

-----BEGIN CERTIFICATE-----
somegibberish
somegibberish
somegibberish
somegibberish
-----END CERTIFICATE-----

Então, eles pareciam prontos para referência. Quando comprei o SSL para o meu site em dezembro, carreguei esses dois intermediários, além do certificado PositiveSSL principal, para a mesma pasta. Eu adicionei as linhas SSLCertificateChainFile... abaixo. 

<VirtualHost *:443>
...
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/domain.com/domain.com.crt
SSLCertificateKeyFile /etc/apache2/ssl/domain.com/domain.com.key
SSLCertificateChainFile /etc/apache2/ssl/domain.com/COMODORSAAddTrustCA.crt
SSLCertificateChainFile /etc/apache2/ssl/domain.com/COMODORSADomainValidationSecureServerCA.crt

Em seguida, executei service apache2 reload no shell de comando depois sem problemas.

Eu fiz isso certo?

Atualização: eu examinei esta página , que diz que SSLCertificateChainFile está obsoleto e que devo colocar todos os certificados em todo o arquivo de certificado principal em uma determinada ordem. Eu tentei isso, recarreguei o apache2, e ainda não há problemas aparentes até agora.

    
por jonbaldie 13.01.2015 / 12:06

1 resposta

5

Eu encontrei a configuração correta: 

<VirtualHost *:443>
...
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/domain.com/domain.com.crt
SSLCertificateKeyFile /etc/apache2/ssl/domain.com/domain.com.key
SSLCertificateChainFile /etc/apache2/ssl/domain.com/COMODORSADomainValidationSecureServerCA.crt

Em COMODORSADomainValidationSecureServerCA.crt copiei e colei o conteúdo de COMODORSAAddTrustCA.crt na parte inferior.

Após recarregar o Apache e executar o site por meio de um Verificador de SSL , a cadeia foi relatada como válida.

    
por 13.01.2015 / 12:52

Tags

O postfix rejeita um email de saída com vários destinos devido a um endereço inválido Quais são as melhores opções para gerar um certificado SSL / csr seguro?