Mi empresa aloja example.com y sub.example.com en el mismo servidor, utilizando un certificado SSL comodín para *.example.com. Ahora es el momento de renovar nuestro certificado y no estamos seguros de cómo lo obtuvimos. Mi jefe no cree que hayamos pagado los $200 que parecen costar. Mi antiguo gerente (que dejó la empresa hace unos días) fue quien lo instaló y no recuerda exactamente qué hizo, pero cree que tenía que generar algo en lugar de simplemente usar los archivos que nos proporcionó la CA. .
La configuración de Apache tiene estas líneas y ninguna otra línea de archivo SSL* sin comentar:
SSLCertificateFile /usr/local/ssl/cert/example.com.crt
SSLCACertificateFile /usr/local/ssl/cert/intermediate.crt
SSLCertificateKeyFile /usr/local/ssl/private/example.com-wild.key
Cuando examino middle.crt ( openssl x509 -in intermediate.crt -text -noout), no menciona nuestra organización o sitio web en absoluto, y es válido para 2010-2020.
Data:
Version: 3 (0x2)
Serial Number: 145105 (0x236d1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
Validity
Not Before: Feb 19 22:45:05 2010 GMT
Not After : Feb 18 22:45:05 2020 GMT
Subject: C=US, O=GeoTrust, Inc., CN=RapidSSL CAb
ejemplo.com.crt es el comodín:
Data:
Version: 3 (0x2)
Serial Number: 1113972 (0x10ff74)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust, Inc., CN=RapidSSL CA
Validity
Not Before: Mar 1 09:05:39 2014 GMT
Not After : Mar 4 09:08:54 2015 GMT
Subject: serialNumber=T0nuTvfeaQVtd3dZ30zGI94HrvUsoRjx, OU=GT53409919, OU=See www.rapidssl.com/resources/cps (c)14, OU=Domain Control Validated - RapidSSL(R), CN=*.example.com
No entiendo la infraestructura SSL, así que supongo que tengo un montón de preguntas relacionadas. Pido disculpas si resulta que no están relacionados en absoluto; No sé lo que no sé.
¿Cómo conseguimos el certificado comodín si no pagamos 200 dólares o lo que sea por él? (Me sorprendería moderadamente si pudiéramos haberlo creado solo con middle.crt, porque entonces podríamos seguir generándolos hasta 2020. Pero no hay otros archivos en /usr/local/ssl, ni nada en /etc/pki /tls que se ha modificado desde 2013, entonces, ¿qué más hubiéramos usado? También me sorprendería moderadamente si mi jefe simplemente no recuerda bien y pagamos $200 o algo así, pero eso me parece posible).
¿De dónde obtuvimos middle.crt?
¿Qué hace intermedio.crt? Tengo un certificado comodín autofirmado que funciona bien (excepto que está autofirmado) en nuestros servidores beta, sin línea SSLCACertificateFile; y compramos un certificado sin comodín que protege ejemplo.com que logré instalar usando VirtualHost sin SSLCACertificateFile, y estamos en el proceso de obtener un certificado para sub.ejemplo.com que estoy planeando para instalar de la misma manera. ¿Se necesita SSLCACertificateFile para certificados comodín no autofirmados?
La forma en que generé el certificado autofirmado parece que podría estar relacionada:
openssl req -nodes -new -keyout private/example.com.key -out certs/intermediate.csr openssl x509 -req -days 365 -in certs/intermediate.csr -signkey private/file.key -out certs/example.com.crtpero no necesito mencionar middle.csr en la configuración de Apache en este caso, y middle.csr no puede ser examinado
openssl x509como lo hace el archivo middle.crt.
Respuesta1
How did we get the wildcard certificate, if we didn't pay $200 or whatever for it?
¿Una CA más barata que la que encontraste ahora? Estoy seguro de que encontrará un revendedor con precios más bajos.
Where did we get intermediate.crt? What does intermediate.crt do?
Lo tienes de tu CA. Las CA generalmente no firman certificados directamente con sus certificados raíz, sino que lo hacen a través de un certificado intermedio. Este certificado intermedio firma los certificados para el cliente y, a su vez, está firmado por el certificado raíz, en el que confían los navegadores y los sistemas operativos. Esto se llama cadena de certificados y también es la razón por la que hay un parámetro separado para que Apache SSLCACertificateFileproporcione esta cadena desde el certificado del sitio web al certificado de CA.
Tengo un certificado comodín autofirmado que funciona bien (excepto que está autofirmado) en nuestros servidores beta, sin línea SSLCACertificateFile;
Entonces, el navegador que probó también confía en el certificado intermedio, pero no puede confiar en eso. También puedes utilizar elPrueba SSL de SSLLabsherramienta para verificar si su cadena puede estar incompleta o si se perdió un intermedio (allí se llama descarga adicional).
¿Se necesita SSLCACertificateFile para certificados comodín no autofirmados?
No, porque en este caso no existe una cadena de certificados, consulte más arriba.
Respuesta2
Parece bastante claro, según los detalles de su certificado y el intermedio, que su antiguo gerente pagó lo que costó por un certificado comodín de RapidSSL hace un año. Lo que tuvo que generar probablemente fue la solicitud de certificado para enviarla a RapidSSL.