Linux

配置 CA 證書鏈失敗

  • May 28, 2020

我正在嘗試使用 apache 在 Fedora 上設置 SSL。

在我的虛擬主機…

SSLCertificateFile /your/path/to/crt.crt
SSLCertificateKeyFile /your/path/to/key.key
SSLCertificateChainFile /your/path/to/DigiCertCA.crt

我讓它與自簽名密鑰一起工作正常,但無法讓它與 DigiCertCA crt 一起工作。

當我跑

service httpd restart

它無法啟動。這是我在日誌中得到的…

[Sat Jan 29 07:57:13 2011] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suex$
[Sat Jan 29 07:57:13 2011] [error] Failed to configure CA certificate chain!

任何幫助將不勝感激!

確保鏈中沒有失去的證書,在SSLCertificateChainFile文件中應該首先從 CA 依次排列所有證書,然後再到用於簽署 CRT 的任何中間證書,否則您將收到錯誤消息。

如果您沒有任何中間證書(查看 Digicert 頁面,看起來好像沒有http://www.digicert.com/ssl-certificate-installation-apache-ensim.htm)您應該SSLCACertificateFile改用

對舊執行緒的更新…

.crt當我通過將中間文件和根文件合併到一個新文件中來創建 CA 鏈文件時,我剛剛發生了這種情況.ca-bundle;問題是第一個證書文件沒有以換行符結尾,所以它的“END”行和下一BEGIN行被連接在一起,比如

-----END CERTIFICATE----------BEGIN CERTIFICATE----- 

我剛剛編輯了文件並將換行符放入,給出:

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

然後它起作用了。

引用自:https://serverfault.com/questions/228485