[英]Multiple SSL Cert Bundles?
我的公司希望為我們的網站使用兩種不同類型的SSL證書:一種使用RSA,另一種使用ECDSA。 原因是因為利用我們網站的外部服務使用的代碼很舊,因此我們需要兼具兩者的兼容性。
編輯:我們正在使用Apache 2.4,並且兩個證書均來自同一機構。 因此,下面的根CA相同,但是由於RSA / ECDSA的不同,中間產品也有所不同。
我們的Apache配置如下:
### RSA cert
SSLCertificateFile /etc/ssl/certs/website_com_rsa.crt
SSLCertificateKeyFile /etc/ssl/private/website_com_rsa.key
### ECDSA cert for compatibility
SSLCertificateFile /etc/ssl/certs/website_com_ecdsa.crt
SSLCertificateKeyFile /etc/ssl/private/website_com_ecdsa.key
### RSA/ECDSA cert bundle
SSLCertificateChainFile /etc/ssl/certs/website_com.ca-bundle
我不確定的部分是CA捆綁包。 我的問題是:
SSLCertificateChainFile
指令,每種類型使用SSLCertificateChainFile
指令(RSA和ECDSA)嗎? RSA捆綁
-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<root-ca>
...
-----END CERTIFICATE-----
ECDSA捆綁包
-----BEGIN CERTIFICATE-----
...
<ecdsa-intermediate-1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<ecdsa-intermediate-2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<root-ca>
...
-----END CERTIFICATE-----
它們應按什么順序組合?
從Apache 2.4的SSLCertificateChainFile
文檔中 ,您似乎可以在使用SSLCertificateFile
配置的文件中提供單獨的鏈, 即在同一文件中將服務器證書與其相應的證書鏈結合在一起。
例如,您的/etc/ssl/certs/website_com_rsa.crt
可能包含多個證書,從服務器證書一直到根:
-----BEGIN CERTIFICATE-----
...
<website-com-rsa>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<root-ca>
...
-----END CERTIFICATE-----
同樣,您的/etc/ssl/certs/website_com_ecdsa.crt
文件也是如此。 這意味着不使用SSLCertificateChainFile
。
希望這可以幫助!
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.