ちょっと質問ですが、ちょっと混乱しています。
私は自分の認証局を設定しており、リクエストを作成して署名することができます。しかし、Apache に何を渡す必要があるのかよくわかりません。現在、私は次のものを持っています:
CA Private key
CA Certificate
Website Private key
Website Certificate
Website Certificate Request (I think I do not need it, but just to be clear)
今日まで、私は Snakeoil 証明書を使用していましたが、CA よりも多くの SSL サービスを使用することにしました。これは良いソリューションのように思えます。そのため、私の Apache は適切に構成されましたが、次のルールで Apache に何を提供すればよいかわかりません。
SSLCertificateKeyFile /path/to/Website Private Key
SSLCertificateFile /path/to/CA Certificate
しかし、私が得たのは
[Mon Dec 27 12:09:33 2010] [warn] RSA server certificate CommonName (CN) `EServer' does NOT match server name!?
[Mon Dec 27 12:09:33 2010] [error] Unable to configure RSA server private key
[Mon Dec 27 12:09:33 2010] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
「EServer」は CA の一般的な名前なので、この警告はかなり奇妙だと思います。したがって、 では CA 証明書を使用しないほうがいいと思います。Web サイトの秘密キーから証明書を作成する必要がありますか、それとも何か他のものから作成する必要がありSSLCertificateFileますか?
答え1
CA 証明書と Web サイト証明書を混同しているだけだと思います。
SSLCACertificateFile <your CA cert file>
SSLCertificateFile <your website cert file>
CA 証明書ファイルを使用して Web サイトの秘密キーを設定しました。これら 2 つは一致しません。
追加情報:
Web サイトの証明書ファイルを検証する必要がないため、Apache で CA 秘密キー ファイルを構成する必要はありません。新しい証明書要求に署名するためにのみ必要です。ただし、すべてのクライアントが CA 証明書ファイルを認識していることを確認する必要があります。