Criando um único arquivo .pem para SSL do servidor da Web

1

Para usar SSL, o servidor da web que estou usando exige a localização de um único .pem arquivo (-ssl_cert xyz.pem)

Eu tenho um certificado emitido pelo GoDaddy. Eles me deram o arquivo:

banana.crt

A solicitação de certificado anterior foi criada usando uma chave privada que geramos

banana.key

O Google parece sugerir que criar um arquivo .pem é tão simples quanto concatená-los.

cat banana.key banana.crt > banana.pem

Infelizmente, iniciar o servidor com o banana.pem e visitá-lo com o Safari me diz:

Issued by: Go Daddy Secure Certificate Authority

This certificate was signed by an unknown authority

O que está errado? Eu ou o GoDaddy estragamos alguma coisa na criação do certificado, ou eu de alguma forma tenho que misturar algo do aqui no meu arquivo .pem?

Eu estou visitando com uma instalação totalmente atualizada do OS X Leopard + Safari.

    
por xyz 10.08.2009 / 23:01

3 respostas

6

Dependendo do tipo de certificado que você possui, vá para link e faça o download da cadeia de certificados intermediários apropriada (um dos .crt arquivos, provavelmente este ). Cole isso no seu arquivo PEM junto com seu próprio certificado e chave.

    
por 10.08.2009 / 23:25
3

Sua criação do arquivo .pem está bem. Se não foi, então, o servidor HTTP é improvável de começar.

Supondo que você tenha um certificado raiz do GoDaddy nos certificados confiáveis do seu navegador, o certificado que eles forneceram a você é o que é conhecido como certificado "encadeado". Isso significa que não foi assinado diretamente pela raiz. É assinado por uma AC intermediaria que em si é assinada pela raiz.

Para que seu navegador confie no certificado encadeado, ele precisa conhecer todos os certificados da cadeia. No Apache, isso é feito com a diretiva SSLCertificateChainFile , que envia os outros certificados da cadeia para o cliente durante o processo de handshake SSL.

Você precisará encontrar um substituto para essa diretiva no Mongoose. O manual não parece indicar como. Você pode achar que colocar o (s) certificado (s) da cadeia no final do PEM para ajudar.

    
por 10.08.2009 / 23:16
0

Tente gerar o arquivo pem usando o comando openssl.

    
por 10.08.2009 / 23:15