在一个小型的非商业网站上,我使用的是来自Start SSL的免费 Class 1 证书。没有通过网络传输的敏感数据,但我确实觉得我想为浏览该站点的任何人提供至少最低限度的隐私。在 Firefox 中访问该站点时,会收到“不受信任的证书”警告。这是一个使用示例wget:
$ wget https://example.com/images/dog.jpg
--2013-08-09 15:21:10-- https://example.com/images/dog.jpg
Resolving example.com (example.com)... 54.43.17.16
Connecting to example.com (example.com)|54.43.17.16|:443... connected.
ERROR: The certificate of `example.com' is not trusted.
ERROR: The certificate of `example.com' hasn't got a known issuer.
StartSSL的FAQ 条目指出,为了避免警告,必须将中间 CA 证书安装到浏览器。期望所有网站访问者都这样做有点不合理!
我不介意安装大公司的证书,但在研究情况时,我发现大公司也有同样的问题。另一个很好的 ServerFault 问题提到服务器管理员应该安装一个中间证书,但我不确定是否存在用于启动 SSL 的中间证书。在搬到另一家公司之前,我怎么知道他们是否拥有我们需要的所有适当的中间证书?正如前两个链接问题所示,即使使用 Verisign 或 GoDaddy 也可能无法解决问题。
这是在 Amazon Web Services 上运行的传统 LAMP 堆栈(Ubuntu Server 12.04、Apache 2.2)。
Mic*_*ton 10
SSLCertificateChainFile /usr/local/apache/conf/sub.class1.server.ca.pem
我以前从 StartSSL 获得了证书,您需要配置 Apache 来提供中间证书以完成链。
您将需要:
SSLCertificateChainFile向 Apache VirtualHost 配置添加指令编辑 - 呸,忍者。好的答案:)
您需要确定您是否应该拥有中级证书。如果您让服务器在链中提供它,将帮助没有它的任何客户端构建有效链(假设他们在本地安装了 StartSSL 根证书)。
情况可能并非如此,这对尚未获得本地信任的 StartSSL 根证书的人没有帮助。您无法帮助那些人,尽管他们必须安装它以避免警告。
| 归档时间: |
|
| 查看次数: |
2269 次 |
| 最近记录: |