我的一个网站的 SSL 证书链不完整,我了解到应该在虚拟主机文件中引用中间证书。
Comodo 向我发送了两个中间证书,即 COMODORSAAddTrustCA.crt 和 COMODORSADomainValidationSecureServerCA.crt,以及主 PositiveSSL 证书。它们的格式均为
-----BEGIN CERTIFICATE-----
somegibberish
somegibberish
somegibberish
somegibberish
-----END CERTIFICATE-----
所以它们看起来已经准备好参考了。去年 12 月,当我为我的网站购买 SSL 时,我将这两个中间件以及主要的 PositiveSSL 证书上传到了同一个文件夹中。我添加了SSLCertificateChainFile...以下几行。
<VirtualHost *:443>
...
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/domain.com/domain.com.crt
SSLCertificateKeyFile /etc/apache2/ssl/domain.com/domain.com.key
SSLCertificateChainFile /etc/apache2/ssl/domain.com/COMODORSAAddTrustCA.crt
SSLCertificateChainFile /etc/apache2/ssl/domain.com/COMODORSADomainValidationSecureServerCA.crt
然后我service apache2 reload在命令 shell 中运行,没有任何问题。
我做对了吗?
更新:我在看这一页,上面说这个SSLCertificateChainFile已被弃用,我应该将所有证书放在主证书文件中,并按特定顺序排列。我试过了,重新加载了 apache2,到目前为止仍然没有出现明显问题。
答案1
我找到了正确的配置:
<VirtualHost *:443>
...
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/domain.com/domain.com.crt
SSLCertificateKeyFile /etc/apache2/ssl/domain.com/domain.com.key
SSLCertificateChainFile /etc/apache2/ssl/domain.com/COMODORSADomainValidationSecureServerCA.crt
我复制并粘贴了底部COMODORSADomainValidationSecureServerCA.crt的内容。COMODORSAAddTrustCA.crt
重新加载 Apache 并通过SSL 检查器据报道,该连锁店是有效的。