如何将中级证书捆绑到一个文件中

tag-icon tag-icon apache-2.2 ssl-certificate pki ssl-certificate-renewal
如何将中级证书捆绑到一个文件中

我为一个政府网站管理一个 apache web 服务器。SSL 证书将在几周后过期,因此他们给我发送了一个 zip 文件,其中包含 3 个中级证书和 SSL 证书(我有 csr 生成器的私钥和政府提供的 crt 文件)。我需要将中级证书捆绑到一个 apache2 文件中。

这是他们发给我的 3 个中级证书

Jan  1  2004 AAACertificateServices.crt
Nov  2  2018 SectigoRSADomainValidationSecureServerCA.crt
Mar 12  2019 USERTrustRSAAAACA.crt

我应该按什么顺序捆绑这 3 个证书,因为从其他链接中读到,如果提供了根,则顺序很重要。哪一个是根?

我使用在线 SSL 验证器来验证这 3 个证书

AAA证书服务.crt

Common Name: AAA Certificate Services
Organization: Comodo CA Limited
Locality: Salford
State: Greater Manchester
Country: GB
Valid From: December 31, 2003
Valid To: December 31, 2028
Issuer: AAA Certificate Services, Comodo CA Limited
Serial Number: 1 (0x1)

SectigoRSADomainValidationSecureServerCA.crt

Common Name: Sectigo RSA Domain Validation Secure Server CA
Organization: Sectigo Limited
Locality: Salford
State: Greater Manchester
Country: GB
Valid From: November 1, 2018
Valid To: December 31, 2030
Issuer: USERTrust RSA Certification Authority, The USERTRUST Network Write review of Sectigo
Serial Number: 7d5b5126b476ba11db74160bbc530da7

USERTrustRSAAAACA.crt

Common Name: USERTrust RSA Certification Authority
Organization: The USERTRUST Network
Locality: Jersey City
State: New Jersey
Country: US
Valid From: March 11, 2019
Valid To: December 31, 2028
Issuer: AAA Certificate Services, Comodo CA Limited Write review of Sectigo
Serial Number: 3972443af922b751d7d36c10dd313595

自从我开始使用 LetEncrypt 并且他们自动将中间证书捆绑到一个文件中以来,这对我来说一直是一个灰色区域。

答案1

顺序应该是先签发叶证书(域的证书),然后签发前一个证书的每个证书,直到签发根证书。“颁发者”字段基本上表示哪个实体签署了该证书。根证书是 AAACertificateServices,因为它签署了自身(颁发者与主体匹配)。

在这种情况下,它将是:

  1. 叶/域证书
  2. SectigoRSADomainValidationSecureServerCA
  3. 用户信任RSAAAACA
  4. AAA证书服务

对于 2.4.8 之前的 httpd,请为 2、3、4 创建一个文件并使用 SSLCertificateChainFile。对于 2.4.8 或更高版本的 httpd,请为 1-4 创建一个文件。

根证书(本例中为 #4)在任一情况下都是可选的,通常建议省略。如果证书不受信任,则包含它可以为较旧的 Windows 客户端带来更好的客户端错误消息。

答案2

我几乎每次使用的顺序是根证书、中间证书和域证书:

编辑:将全部3个导入到已创建的密钥库文件(tomcat webserver)中。

相关内容