Minha empresa está hospedando example.com e sub.example.com no mesmo servidor, usando um certificado SSL curinga para *.example.com. Agora é hora de renovar nosso certificado e não temos certeza de como o obtivemos. Meu chefe não acha que pagamos os US$ 200 que eles parecem custar. Meu antigo gerente (que saiu da empresa há poucos dias) foi quem instalou, e ele não se lembra exatamente o que fez, mas acha que tinha que gerar algo em vez de apenas usar os arquivos que recebemos do CA .
A configuração do Apache possui estas linhas e nenhuma outra linha SSL*File não comentada:
SSLCertificateFile /usr/local/ssl/cert/example.com.crt
SSLCACertificateFile /usr/local/ssl/cert/intermediate.crt
SSLCertificateKeyFile /usr/local/ssl/private/example.com-wild.key
Quando examino intermedia.crt ( openssl x509 -in intermediate.crt -text -noout), ele não menciona nossa organização ou site e é válido para 2010-2020.
Data:
Version: 3 (0x2)
Serial Number: 145105 (0x236d1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
Validity
Not Before: Feb 19 22:45:05 2010 GMT
Not After : Feb 18 22:45:05 2020 GMT
Subject: C=US, O=GeoTrust, Inc., CN=RapidSSL CAb
example.com.crt é o curinga:
Data:
Version: 3 (0x2)
Serial Number: 1113972 (0x10ff74)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust, Inc., CN=RapidSSL CA
Validity
Not Before: Mar 1 09:05:39 2014 GMT
Not After : Mar 4 09:08:54 2015 GMT
Subject: serialNumber=T0nuTvfeaQVtd3dZ30zGI94HrvUsoRjx, OU=GT53409919, OU=See www.rapidssl.com/resources/cps (c)14, OU=Domain Control Validated - RapidSSL(R), CN=*.example.com
Não entendo a infraestrutura SSL, então acho que tenho várias perguntas relacionadas. Peço desculpas se eles não têm nenhum parentesco; Não sei o que não sei.
Como conseguimos o certificado curinga, se não pagamos US$ 200 ou algo assim por ele? (Eu ficaria moderadamente surpreso se pudéssemos criá-lo apenas com intermedia.crt, porque então poderíamos continuar gerando-os até 2020. Mas não há outros arquivos em/usr/local/ssl e nada em/etc/pki /tls que foi modificado desde 2013, então o que mais teríamos usado? Eu também ficaria moderadamente surpreso se meu chefe estivesse apenas se lembrando mal e pagássemos US$ 200 ou algo assim, mas isso parece possível para mim.)
Onde conseguimos intermediário.crt?
O que intermediário.crt faz? Eu tenho um certificado curinga autoassinado que funciona bem (exceto que é autoassinado) em nossos servidores beta, sem linha SSLCACertificateFile; e compramos um certificado não curinga que protege example.com que consegui instalar usando VirtualHost sem SSLCACertificateFile, e estamos no processo de obtenção de um certificado para sub.example.com que estou planejando para instalar da mesma maneira. O SSLCACertificateFile é necessário para certificados curinga não autoassinados?
A maneira como gerei o certificado autoassinado parece estar relacionada:
openssl req -nodes -new -keyout private/example.com.key -out certs/intermediate.csr openssl x509 -req -days 365 -in certs/intermediate.csr -signkey private/file.key -out certs/example.com.crtmas não preciso mencionar o intermediario.csr na configuração do Apache neste caso, e o intermediario.csr não pode ser examinado
openssl x509como o arquivo intermediario.crt pode.
Responder1
How did we get the wildcard certificate, if we didn't pay $200 or whatever for it?
Um CA mais barato do que você encontrou agora? Tenho certeza que você encontrará um revendedor com preços mais baixos.
Where did we get intermediate.crt? What does intermediate.crt do?
Você o possui em sua CA. As CAs geralmente não assinam certificados diretamente com seus certificados raiz, mas fazem isso por meio de um certificado intermediário. Este certificado intermediário assina os certificados para o cliente e, por sua vez, é assinado pelo certificado raiz, que é confiável para navegadores e sistemas operacionais. Isso é chamado de cadeia de certificados e também a razão pela qual existe um parâmetro separado para o Apache SSLCACertificateFilefornecer essa cadeia do certificado do site ao certificado da CA.
Eu tenho um certificado curinga autoassinado que funciona bem (exceto que é autoassinado) em nossos servidores beta, sem linha SSLCACertificateFile;
Então o navegador que você testou também confia no certificado intermediário, mas você não pode confiar nisso. Você também pode usar oSSLLabs ssltestferramenta para verificar se sua cadeia pode estar incompleta ou perdeu um intermediário (chamado de download extra lá).
O SSLCACertificateFile é necessário para certificados curinga não autoassinados?
Não, porque não há cadeia de certificados neste caso, veja acima.
Responder2
Parece bastante claro, com base nos detalhes do seu certificado e no intermediário, que seu antigo gerente realmente pagou o que custou por um certificado curinga do RapidSSL há um ano. O que ele teve que gerar foi provavelmente a solicitação de certificado para enviar ao RapidSSL.