Apache-2.4

Apache 服務於新舊 SSL 根證書

  • February 22, 2022

我在https://www.tabletop.cloud上託管一個網站

不久前,我從DST Root CA X3根證書切換到ISRG Root X1證書。當我在每個瀏覽器中訪問我的網站時,SSL 證書似乎正常工作(見下圖 1 和 2)

但是,我有一台拒絕使用新證書的 iPad,並且由於某種原因正在接收最近簽署的DST Root CA X3證書版本。(見下圖 3,使用 TLS 檢查器應用程序截取的螢幕截圖)

我已經檢查了 iPad 是否接受帶有ISRG Root X1證書的其他網站,並且沒有問題。

我還嘗試刪除證書並讓 acme.sh 從頭開始生成新證書。(但是我沒有刪除其中的配置文件,/root/.acme.sh/tabletop.cloud因為我不確定是否可以安全地這樣做)

我真的很困惑,因為我認為不可能根據平台/瀏覽器(?)提供不同的 SSL 證書。

我在用:

  • 阿帕奇 2.4.41
  • acme.sh 用於加密證書請求

在此處輸入圖像描述在此處輸入圖像描述 在此處輸入圖像描述

感謝您提供您的實際域名。乍一看,我看到您的伺服器只發送簽名的伺服器證書,而不是中間/鏈證書。這可能是東西破裂的原因。

考慮在您的 Apache SSL 配置中使用“fullchain”證書包SSLcerificateFile而不是僅使用伺服器證書,或者添加一個SSLCertificateChainFile帶有頒發/簽署您的伺服器證書的 CA 證書的指令。

引用自:https://serverfault.com/questions/1094330