Identifique o tipo de certificado SSL para configuração do Apache

tag-icon tag-icon ssl ssl-certificate apache2 openssl
Identifique o tipo de certificado SSL para configuração do Apache

Eu tenho arquivos de certificado SSL:

  • Root2023.crt
  • t1.crt
  • t1.pem
  • t1.pk8

no meu apache Como posso determinar quais desses arquivos devem ser usados ​​para SSLCertificateFile, SSLCertificateKeyFile e SSLCertificateChainFile ou etc,

000-default.conf:

<VirtualHost *:80>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html



        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>
<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html

        SSLEngine on
        SSLCertificateFile /etc/ssl/t1.crt
        SSLCertificateKeyFile /etc/ssl/t1.pem
        SSLCertificateKeyFile /etc/ssl/t1.pk8
        SSLCertificateChainFile /etc/ssl/Root2023.crt

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Eu tento esta configuração mas não funciona

ATUALIZAR:

openssl x509 -in t1.pem -text -noout
openssl x509 -in t1.crt -text -noout
has similar output like this:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 508... (0x468dc...8)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = rcii
        Validity
            Not Before: Feb 14 07:34:00 2023 GMT
            Not After : Feb 14 07:34:00 2026 GMT
        Subject: C = IR, ST = TEH, L = TEH, CN = 172.....
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (4096 bit)
                Modulus:
                    00:c4:.....

                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Key Usage:
                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Subject Alternative Name:
                IP Address:172.....
            Netscape Comment:
                xca certificate
    Signature Algorithm: sha256WithRSAEncryption
    Signature Value:
        34:bd:9

t1.pk8 tem frase secreta

openssl rsa -in t1.pk8 -text -noout

saída:

Private-Key: (4096 bit, 2 primes)
modulus:
    00:c4:58:f7:e8:bf:ad:f1:f9:aa:33:e7:3c:b3:48:
publicExponent: 65537 (0x10001)
privateExponent:
    65:a0:6b:08:84:15:c3:55:e7:3b:a0:27:31:e0:74:
prime1:
    00:f2:e1:d3:4e:3f:2e:b3:69:60:cd:8c:8c:78:91:
prime2:
    00:ce:f3:bd:36:44:6e:bd:ae:65:43:62:59:8a:ec:
    af:03
exponent1:
    00:e1:cd:10:a5:ae:17:bc:b4:3b:4a:dd:5f:ba:b7:
    63:0d:e2:0b:18:93:35:8b:3c:df:4b:7e:d5:63:84:
    75
exponent2:
    1f:b9:21:21:f6:6f:7b:48:06:61:c3:eb:b1:ed:fc:
    7d
coefficient:
    37:ff:02:03:bf:37:c0:7f:6f:f8:a6:b1:51:9b:b3:
    fd:cf:fd:49:e3:c5:fb:6d:47:79:a0:0e:2d:99:50:
    eb

Responder1

Omod_ssla documentação de cada parâmetro informa o que é esperado, o que responde mais ou menos à sua pergunta.

Chave privada

SSLCertificateKeyFileDiretiva

Descrição: Arquivo de chave privada codificado em PEM do servidor

Esta diretiva aponta para o arquivo de chave privada codificado em PEM para o servidor ou para o ID da chave por meio de um token criptográfico configurado. Se a chave privada contida estiver criptografada, a caixa de diálogo da frase secreta será forçada na inicialização.

O t1.pk8contém as informações necessárias aqui, mas você pode querer remover a senha para que ela não seja solicitada toda vez que você reiniciar o Apache:

openssl rsa -in /etc/ssl/t1.pk8 -out /etc/ssl/t1.key

O arquivo resultante deve começar com -----BEGIN PRIVATE KEY----.

Como o arquivo de chave não está mais protegido por senha, você deve protegê-lo com permissões do sistema de arquivos:

chown root:root /etc/ssl/t1.key
chmod 600 /etc/ssl/t1.key

Cadeia de certificados

SSLCertificateChainFileestá obsoleto

SSLCertificateChainFiletornou-se obsoleto com a versão 2.4.8, quando SSLCertificateFilefoi estendido para carregar também certificados CA intermediários do arquivo de certificado do servidor.

Isso deve ser autoexplicativo. Remova completamente esta diretiva da sua configuração.

SSLCertificateFileDiretiva

Descrição: Arquivo de dados de certificado X.509 codificado por PEM do servidor ou identificador de token

Esta diretiva aponta para um arquivo com dados do certificado no formato PEM, ou o identificador do certificado através de um token criptográfico configurado. Se estiver usando um arquivo PEM, no mínimo, o arquivo deverá incluir um certificado de entidade final (folha). - -

Os arquivos também podem incluir certificados de CA intermediários, classificados de folha para raiz.

Se o seu t1.crtestiver assinado diretamente pelo Root2023.crte Root2023.crtestiver presente no armazenamento da CA nos clientes, você poderá usá-lo t1.crtcomo está.

Se você precisar de algumintermediáriocertificados, você deve criar um arquivo combinado contendo todos eles, da folha à raiz. Se Root2023.crtfor um arquivo contendo os certificados intermediários e ambos já estiverem no formato PEM, você poderá combiná-los com:

cat /etc/ssl/t1.crt /etc/ssl/Root2023.crt > /etc/ssl/fullchain.pem

O arquivo resultante deve ser estruturado assim:

-----BEGIN CERTIFICATE-----
Base 64 encoded contents of the leaf certificate.
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base 64 encoded contents of an intermediate certificate.
-----END CERTIFICATE-----

Seguido pela quantidade necessária de intermediários (e opcionalmente o certificado CA).

Configuração

Agora, se essas instruções fossem adequadas às suas necessidades e você as seguisse, sua configuração ficaria assim:

    SSLEngine on
    SSLCertificateFile /etc/ssl/fullchain.pem
    SSLCertificateKeyFile /etc/ssl/t1.key

informação relacionada