Skocz do zawartości
HaPe

Positive SSL i kilka CA

Polecane posty

Witam,

zamawiając certyfikat PositiveSSL dostałem kilka plików CA:

 

Pierwszy z nich dodałem do pliku crt i SSL działa prawidłowo. Kiedy zachodzi potrzeba skorzystania z pozostałych?

Czy można apache lub nginx wkleić gdzieś zbiorowo popularne CA, aby nie było potrzeby doklejania ich do pliku crt?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki, a czy Apachowi lub Nginx można w globalnym configu wskazać te certyfikaty CA, aby nie było potrzeby doklejania ich do każdemu pliku z certyfikatem?

Lepiej jest dla każdej z domen stosować odrębny klucz prywatny czy lepiej trzymać się zasady, że jeden klucz prywatny do ssli na każdy z serwerów?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Certyfikaty pośrednie oraz certyfikat wystawcy należy wrzucić do jednego pliku i tak przygotowany ładować.

Odnosząc się o drugiego zapytania- definitywnie każdy certyfikat SSL winien być generowany dla indywidualnego klucza prywatnego.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeszcze w kwestii ca bundle, czy dla każdego z wystawców certyfikatu muszę mieć odrębny plik czy do jednego pliku mogę mieć wklejone ca od Geotrust, Comodo?

Spotkałem się kiedyś ze stwierdzeniem od kogoś, że pliki ca bundle należy umieszczać w pliku z certyfikatem. Będzie to działało czy jest to błąd kardynalny i do tego celu w apache stosujemy wyłącznie SSLCACertificateFile?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja stosuję taką taktykę i nie spotkałem się z kłopotami z łańcuchem certyfikatów:

SSLCertificateFile /katalog/.ssl/certyfikatdladomeny.crt
SSLCertificateKeyFile /katalog/.ssl/kluczprywatny.key
SSLCACertificateFile /katalog/.ssl/certyfikatypośrednie.crt

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Do konfigurowania pliku z bundle służy w Apache dyrektywa SSLCertificateChainFile.

SSLCACertificateFile jest używane tylko w klienckiej autoryzacji SSL i definiuje (z grubsza) zaufanych wystawców certyfikatów klienckich (aka jeżeli klient zweryfikuje się certyfikatem podpisanym przez jedno z tych CA to go wpuści).

 

PS: ChainFile może zawierać sklejkę certyfikatów Geotrust, Comodo i innych i być wspólny (w sensie - każdy vhost ma dyrektywę ...ChainFile kierującą na ten sam plik). Problem tylko taki, że ten bundle jest wysyłane klientowi co żądanie, więc zbytni zlepek spowoduje, że może to działać wolno :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czyli kiedy w praktyce stosujemy dyrektywę SSLCACertificateFile ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×