só uma pergunta rápida, estou meio confuso.
Configurei minha própria autoridade de certificação e posso criar solicitações e assiná-las. Mas não tenho certeza do que preciso dar ao Apache, atualmente tenho:
CA Private key
CA Certificate
Website Private key
Website Certificate
Website Certificate Request (I think I do not need it, but just to be clear)
Até hoje eu estava usando certificado Snakeoil, mas decidi ter mais serviços SSL, do que CA parece uma boa solução, então meu Apache foi bem configurado, mas agora não tenho certeza do que devo fornecer ao Apache nas seguintes regras:
SSLCertificateKeyFile /path/to/Website Private Key
SSLCertificateFile /path/to/CA Certificate
Mas do que eu consegui
[Mon Dec 27 12:09:33 2010] [warn] RSA server certificate CommonName (CN) `EServer' does NOT match server name!?
[Mon Dec 27 12:09:33 2010] [error] Unable to configure RSA server private key
[Mon Dec 27 12:09:33 2010] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
Algo me diz que o aviso é bem estranho, porque "EServer" é um nome comum de CA, então acho que não devo usar o Certificado CA em SSLCertificateFile, certo?
Preciso criar um certificado a partir da chave privada do site ou algo mais?
Responder1
Acho que você acabou de misturar seu certificado CA e o certificado do seu site:
SSLCACertificateFile <your CA cert file>
SSLCertificateFile <your website cert file>
Você configurou a chave privada do seu site com o arquivo de certificado CA. Esses dois não vão combinar.
Informações adicionais:
você não precisa configurar o arquivo de chave privada da CA no seu apache, pois não é necessário verificar o arquivo de certificado do seu site. É necessário apenas assinar novas solicitações de certificado. Mas você deve garantir que cada cliente conheça seu arquivo de certificado CA.