那些遇到过的问题

哪个证书链文件包含自签名证书?

deq*_*yra 16 ssl ssl-certificate

编辑:可能最好在服务器故障上询问此问题,但我的声誉不会让我发布超过2个链接.:(

我想要一些要求我网站上的密码安全的页面,所以我按照这个来创建自定义SSL证书.我也遵循了这一点,因为它解释了如何生成自签名多域证书(subjectAltName允许我获得example.com和*.example.com的有效证书,我没有找到另一种方法来执行此操作).
所以我不得不混合命令来获得我想要的东西,我认为我所做的一切都很好(虽然我稍后会详细介绍以防万一).
现在,我必须配置Apache以侦听端口443上的查询,并在相应的页面上提供SSL安全性.所以我找到了这个.

在端口443上定义VirtualHost侦听时,它说: 

<VirtualHost 127.0.0.1:443>
  SSLEngine On  
  SSLCertificateFile /etc/apache2/ssl/something.crt  
  SSLCertificateKeyFile /etc/apache2/ssl/something.key  
  SSLCertificateChainFile /etc/apache2/ssl/gd_bundle.crt  
  ...
</VirtualHost>
Run Code Online (Sandbox Code Playgroud)

我想我知道我需要为SSLCertificateFileSSLCertificateKeyFile字段指定什么文件,但我似乎无法弄清楚是什么SSLCertificateChainFile.我在Google和Stack Exchange社区搜索时找到的所有东西到目前为止都没有帮助我,所以我在这里问清楚:

我应该提供什么文件SSLCertificateChainFile,如何在需要时创建它?

以下是我按照不同链接的说明创建的文件,以及我用来创建它们的命令.

  • 证书颁发机构密钥(ca.key): openssl genrsa -des3 -out ca.key 1024
  • 密钥证书(ca.san.csr):openssl req -new -key ca.key -out ca.san.csr -config /etc/ssl/openssl.cnf
    这里我指定了配置文件路径,因为我必须稍微更改它才能添加subjectAltName.我还可以检查一切顺利openssl req -text -noout -in ca.san.csr.这里描述一切.
  • 证书的创建和签名(ca.san.crt):openssl x509 -req -days 3650 -in ca.san.csr -signkey ca.key -out ca.san.crt -extensions v3_req -extfile /etc/ssl/openssl.cnf
    同样,需要conf文件,因为它subjectAltNames是在其中定义的.
  • 服务器密钥(server.key): openssl genrsa -out server.key 1024
  • 密钥证书(server.san.csr): openssl req -new -key server.key -out server.san.csr -config /etc/ssl/openssl.cnf
  • 服务器证书(server.san.crt): openssl x509 -days 3650 -CA ca.san.crt -CAkey ca.key -set_serial 01 -in server.san.csr -req -out server.san.crt

对于SSLCertificateFile,我以为我提供了server.san.crt文件,这对我来说似乎是最合乎逻辑的事情,以及server.key文件SSLCertificateKeyFile.
SSLCertificateChainFile似乎要求一个.crt文件,所以它可能是.crt我唯一的其他文件ca.san.crt,但我真的不确定这个.

有没有人提示?
感谢您抽出宝贵时间阅读本文.

解决方案
对于这种特殊情况,由于我使用的是自定义证书,因此SSLCertificateChainFile没有多大意义(请参阅下面的标记答案).因此,你只需要指定两个指令相同的证书文件,SSLCertificateFile以及SSLCertificateChainFile.
在使用SSL*指令之前,只需要对Apache做一件事.默认情况下,在Apache上禁用SSL,因此您需要启用它sudo a2enmod ssl,或者在重新启动Apache时,您将收到一条错误消息,指出您可能在vHosts文件中存在错误.
完成此操作并重新启动服务器后,您可以使用HTTPS连接vHosts.您的浏览器会告诉您证书无效,因为它是自签名的,但您的连接是安全的.

Cry*_*t32 9

我想要一些需要我网站上的密码才能安全的页面

只是一张纸条.作为最佳实践,整个网站应使用SSL进行保护.这篇博客文章解释了身份验证页面上的SSL不足的原因:保护ASP.NET MVC 4应用程序和新的AllowAnonymous属性(虽然它与ASP MVC有关,但其他平台也会受到影响).

但我似乎无法弄清楚什么是SSLCertificateChainFile

我认为,它是一个包含中间CA证书的PKCS#7容器.使用自签名证书,没有其他证书,因此(抱歉,我不是Apache专家)这个文件可能是:

  1. 自签名证书本身(仅限公共部分)
  2. 可以删除(此文件对自签名SSL证书没有任何意义)
  3. 空(不太可能,Apache可能会抱怨错误的文件格式).

我将与第1步走,同样的证书传递给SSLCertificateFileSSLCertificateChainFile参数.

归档时间:

查看次数:

17858 次

最近记录:

10 年,1 月 前
如何使用https? 7
更多相关链接
相关归档
多个服务器上的单个SSL证书 58
在Rails 3.1中强制SSL用于特定路由 11
haproxy:从PEM文件加载的私钥和证书之间的不一致 10
没有X509TrustManager实现可用 10
TLS握手错误 7
如何加密(使用SSL)Akka Remoting消息? 6
运行https的站点的地图控件 5
Tomcat 9 无效的密钥库密码 5
我们可以从 JRE 的“cacerts”文件中导出证书并将其导入到更高的 JRE 版本吗? 4
为什么通过IP地址而不是主机名连接到服务器时验证失败? 2
难疑归档
最终C++书籍指南和列表 4246
如何在JavaScript中将字符串转换为布尔值? 2328
如何让Git忽略文件模式(chmod)的变化? 2188
我为什么要使用指针而不是对象本身? 1532
如何确定Python变量的类型? 1437
在C#中调用基础构造函数 1398
对JavaScript对象数组进行排序 1233
git:撤消所有工作目录更改,包括新文件 1108
angular-route和angular-ui-router之间有什么区别? 1064
iOS 6上的Safari缓存$ .ajax结果吗? 1057