Estoy intentando cargar un certificado de servidor de godaddy, así que tengo xxxxxxx.crt y bundle.crt. Creé una clave/csr que usamos para crear los certificados. Ahora estoy intentando cargar otro certificado ya que el teléfono que estamos usando tiene que establecer contacto con nuestro servidor y luego, con suerte, descubrir la CA del fabricante para aprovisionarla de forma segura.
Mi configuración inicial era así:
<VirtualHost ip.ip.ip.ip:443>
JkMount /* worker1
JkMount / worker1
ServerAdmin [email protected]
ServerName identifier.server.domain.co.uk
SSLEngine on
SSLVerifyClient require
SSLCertificateFile /path/path/XXXXXXXXxxxxxxx.crt
SSLCACertificateFile /path/path/gd_bundle-g2.crt
SSLCertificateKeyFile /path/path/polycom.key
SSLCertificateFile /path/path/Polycom_Root_CA.crt
SSLVerifyDepth 10
SSLOptions +ExportCertData
ErrorLog logs/identifier.server.domain.co.uk-error_log
CustomLog logs/identifier.server.domain.co.uk-access_log common
</VirtualHost>
Cuando comento el certificado de Polycom, puedo reiniciar httpd sin errores, pero intentar incluirlo interrumpe el reinicio. ¿Estoy haciendo algo increíblemente estúpido o tengo que concatenar los certificados?
Respuesta1
No puede cargar dos certificados en un solo host virtual. No tiene sentido
La regla es un certificado x509 por host virtual.
Si desea agregar CA en la cadena que firmó su certificado, simplemente agréguelas en un único SSLCACertificateFile.
Además, tenga en cuenta que en 2.4 puede omitir SSLCACertificateFile y agregar toda la cadena de certificados en SSLCertificateFile desde la hoja hasta la raíz.
Respuesta2
Solucioné el problema que percibí formateando el archivo CA de Polycom como PEM en lugar de DER, lo convertí en SSLCACertificateFile y realicé el cambio;
SSLCertificateChainFile /path/path/gd_bundle-g2.crt
Ahora recibo un apretón de manos positivo del teléfono al servidor y se entregan paquetes seguros.