sslcheck.globalsign.com 上的 SSL 测试器表示:
服务器配置未包含所有中间证书
我找到了这个页面: http://yob.id.au/2013/02/06/trusting-new-ssl-certificates-in-debian.html 他们说我应该做以下事情:1.在浏览器中打开受影响的域并查看中间证书2.将证书导出到扩展名为 .crt 的文件3.将文件复制到您的 Debian 框并将其放在 /usr/local/share/ca-certificates 4.以 root 身份运行 update-ca-certificates
它说:
更新 /etc/ssl/certs 中的证书... 已添加 1 个,已删除 0 个;已完成。运行 /etc/ca-certificates/update.d 中的钩子....已完成。
我已完成此操作,但仍然没有效果。我该怎么办?
顺便说一句,有时我可以读到(就像上面的例子一样)我应该将证书放入 /usr/local/share/ca-certificates,有时我应该将它们放入 /etc/ssl/certs,那么正确的位置是什么?
答案1
在 apache 的配置文件中,搜索此指令:(SSLCertificateChainFile
如果 apache 版本为 2.4.7 或更低)或SSLCertificateFile
(如果 apache 版本为 2.4.8 或更高)
该指令指向的文件必须包含服务器证书,后跟颁发者 CA(以及颁发者的颁发者 CA,等等)。它应该如下所示:
-----BEGIN CERTIFICATE-----
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
qUCAwEAAaOCAWUwggFhqUCAwEAAaOCAWUwggFhqUC
-----END CERTIFICATE-----
第一个证书是服务器的证书,第二个证书是中间 CA 的证书,等等。