Ich wurde gebeten, Zertifikate von einigen unserer Server zu entfernen, aber ich weiß nichts über die Konfiguration von httpd. Wenn ich einen Server habe, auf dem ich dies tue,
/usr/sbin/httpd -t -DDUMP_CERTS 2>/dev/null | /bin/sort -u
Ich bekomme
/etc/httpd/certs/domain1.certificate
/etc/httpd/certs/domain2.certificate
/etc/httpd/certs/domain3.cert
/etc/pki/tls/certs/localhost.crt
und ich möchte nur domain3.cert behalten. Wie kann ich die anderen entfernen?
Wenn /etc/pki/tls/certs/localhost.crt
es das einzige auf einer Maschine ist, muss ich es dann auf eine andere Weise entfernen? Ich habe versucht, die Zeile mit dem Hinweis auf localhost.crt auszukommentieren, /etc/httpd/conf.d/ssl.conf
aber dann meldet httpd, failed
wenn ich einen Dienstneustart durchführe.
Antwort1
Ich weiß, dass die Frage ein Jahr alt ist, sodass die Antwort wahrscheinlich viel zu spät kommt, aber da jemand dies bereits ausgegraben hat, ist es möglicherweise sinnvoll, für zukünftige Besucher eine Antwort hier zu posten. Leider haben wir keine detaillierten Informationen über die verwendete Distribution und welches bestimmte Paket die HTTPD-Funktionalität bereitstellt (Apache, Nginx, etwas anderes?), sodass es ein bisschen ein Schuss ins Blaue ist, aber trotzdem:
Der Grund, warum der von Ihnen erwähnte Neustart fehlschlägt, liegt wahrscheinlich darin, dass Sie das Zertifikat in einer allgemeinen Konfigurationsdatei auskommentieren und es in einer anderen Datei belassen, wahrscheinlich in einer Vhost-Konfiguration. Sie können dies mit folgendem Befehl überprüfen: , grep -E '(domain[12]\.certificate|localhost\.crt) /etc/httpd/sites-enabled/*'
der nach den Zeichenfolgen: domain1.certificate
, domain2.certificate
und localhost.crt
in allen Dateien im Verzeichnis /etc/httpd/sites-enabled/ sucht. Wenn einer dieser Strings gefunden wird, werden die entsprechenden Zeilen mit dem vorangestellten Dateinamen ausgegeben, der sie enthält. Sie können dann fortfahren, diese Zeilen auskommentieren. Möglicherweise müssen Sie den Zertifikatsdateipfad ändern, um ein anderes Zertifikat bereitzustellen, oder den gesamten HTTPS-Abschnitt auskommentieren, wenn Sie nur einfaches HTTP möchten.
Versuchen Sie, den Server neu zu starten (oder die Konfiguration zu testen), nachdem Sie fertig sind. Wenn der Neustart erfolgreich ist, verwendet der Server die Zertifikate nicht mehr.