我想在 Apache 上建立一个 SSL 网站,并向我当地的 ISP 申请证书。他们只给我发了一个名为 chain.p7b 的文件。
我一直使用其他供应商的证书,没有任何问题,但他们通常会提供两个文件在 Apache 中配置为 SSLCertificateFile 和 SSLCertificateChainFile。
根据多个在线资源的说明,我在 Windows 中打开了 p7b 文件并从文件中提取了 4 个证书。然后我尝试使用其中一个文件配置 Apache,它成功了,但显示一条警告:证书不受信任,因为没有提供颁发者链。
我认为我必须使用剩余的 3 个文件作为 SSLCertificateChainFile 和/或 SSLCACertificateFile。我试过了,但没有成功,所以我假设它可能是完全不同的东西。
有人遇到过这个问题吗?
以下页面http://www-01.ibm.com/support/docview.wss?uid=swg21458997谈论使用密钥库,但这与 Apache 相关吗?
答案1
你需要找出:
-
SSLCertificateChainFile 指令
此指令设置可选的一体化文件,您可以在其中组装构成服务器证书证书链的证书颁发机构 (CA) 的证书。这从颁发服务器证书的 CA 证书开始,一直到根 CA 证书。这样的文件只是各种证书的串联PEM 编码的 CA 证书文件,通常按证书链顺序。
-
证书文件扩展名
.p7b, .p7c – PKCS#7 SignedData 结构不含数据,仅含证书或 CRL