多個SSL證書捆綁包？

Question

我的公司希望為我們的網站使用兩種不同類型的SSL證書：一種使用RSA，另一種使用ECDSA。 原因是因為利用我們網站的外部服務使用的代碼很舊，因此我們需要兼具兩者的兼容性。

編輯：我們正在使用Apache 2.4，並且兩個證書均來自同一機構。 因此，下面的根CA相同，但是由於RSA / ECDSA的不同，中間產品也有所不同。

我們的Apache配置如下：

### RSA cert
SSLCertificateFile          /etc/ssl/certs/website_com_rsa.crt
SSLCertificateKeyFile       /etc/ssl/private/website_com_rsa.key

### ECDSA cert for compatibility
SSLCertificateFile          /etc/ssl/certs/website_com_ecdsa.crt
SSLCertificateKeyFile       /etc/ssl/private/website_com_ecdsa.key

### RSA/ECDSA cert bundle
SSLCertificateChainFile /etc/ssl/certs/website_com.ca-bundle

我不確定的部分是CA捆綁包。 我的問題是：

1. 我可以使用兩種不同的SSLCertificateChainFile指令，每種類型使用SSLCertificateChainFile指令（RSA和ECDSA）嗎？
2. 如果不能，那么如何將來自兩個不同證書包的CA包合並到一個文件中？ 假設我有兩個CA Bundle文件，其順序如下：

RSA捆綁

-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<root-ca>
...
-----END CERTIFICATE-----

ECDSA捆綁包

-----BEGIN CERTIFICATE-----
...
<ecdsa-intermediate-1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<ecdsa-intermediate-2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<root-ca>
...
-----END CERTIFICATE-----

它們應按什么順序組合？

Answer 1

從Apache 2.4的SSLCertificateChainFile文檔中 ，您似乎可以在使用SSLCertificateFile配置的文件中提供單獨的鏈， 即在同一文件中將服務器證書與其相應的證書鏈結合在一起。

例如，您的/etc/ssl/certs/website_com_rsa.crt可能包含多個證書，從服務器證書一直到根：

-----BEGIN CERTIFICATE-----
...
<website-com-rsa>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<root-ca>
...
-----END CERTIFICATE-----

同樣，您的/etc/ssl/certs/website_com_ecdsa.crt文件也是如此。 這意味着不使用SSLCertificateChainFile 。

希望這可以幫助！