Просто быстрый вопрос, я немного запутался.
Я создал свой собственный центр сертификации и могу создавать запросы и подписывать их. Но я не уверен, что мне нужно передать Apache, в настоящее время у меня есть:
CA Private key
CA Certificate
Website Private key
Website Certificate
Website Certificate Request (I think I do not need it, but just to be clear)
До сегодняшнего дня я использовал сертификат Snakeoil, но я решил иметь больше SSL-сервисов, чем CA, и это выглядит хорошим решением, поэтому мой Apache был настроен хорошо, но теперь я не уверен, что мне следует предоставить Apache в следующих правилах:
SSLCertificateKeyFile /path/to/Website Private Key
SSLCertificateFile /path/to/CA Certificate
Но потом я получил
[Mon Dec 27 12:09:33 2010] [warn] RSA server certificate CommonName (CN) `EServer' does NOT match server name!?
[Mon Dec 27 12:09:33 2010] [error] Unable to configure RSA server private key
[Mon Dec 27 12:09:33 2010] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
Что-то мне подсказывает, что предупреждение довольно странное, потому что "EServer" - это распространенное имя CA, поэтому я думаю, что мне не следует использовать CA Certificate в SSLCertificateFile, не так ли?
Мне нужно создать Certificate из закрытого ключа веб-сайта или что-то еще?
решение1
Я думаю, вы просто перепутали сертификат вашего центра сертификации и сертификат вашего веб-сайта:
SSLCACertificateFile <your CA cert file>
SSLCertificateFile <your website cert file>
Вы настроили свой закрытый ключ веб-сайта с помощью файла сертификата CA. Эти два не будут совпадать.
Дополнительная информация:
Вам не нужно настраивать файл закрытого ключа CA в Apache, так как он не нужен для проверки файла сертификата вашего веб-сайта. Он нужен только для подписи новых запросов на сертификат. Но вам нужно убедиться, что каждый клиент знает ваш файл сертификата CA.