只是一個簡單的問題,我有點困惑。
我已經建立了自己的憑證授權機構,我可以建立請求並對其進行簽署。但是,我不確定我需要給 Apache 什麼,目前我已經得到了:
CA Private key
CA Certificate
Website Private key
Website Certificate
Website Certificate Request (I think I do not need it, but just to be clear)
直到今天我還在使用蛇油證書,但我決定擁有更多的SSL服務,比CA看起來更好的解決方案,所以我的Apache配置得很好,但現在我不確定我應該在以下規則中向apache提供什麼:
SSLCertificateKeyFile /path/to/Website Private Key
SSLCertificateFile /path/to/CA Certificate
但比我得到的
[Mon Dec 27 12:09:33 2010] [warn] RSA server certificate CommonName (CN) `EServer' does NOT match server name!?
[Mon Dec 27 12:09:33 2010] [error] Unable to configure RSA server private key
[Mon Dec 27 12:09:33 2010] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
有些東西告訴我這個警告很奇怪,因為「EServer」是 CA 的通用名稱,所以我想我不應該在 中使用 CA 證書SSLCertificateFile,不是嗎?
我需要從網站私鑰或其他東西創建證書嗎?
答案1
我認為您只是混淆了 CA 憑證和網站憑證:
SSLCACertificateFile <your CA cert file>
SSLCertificateFile <your website cert file>
您已使用 CA 憑證檔案設定了網站私鑰。這兩個不會匹配。
附加資訊:
您不必在 apache 中配置 CA 私鑰文件,因為不需要驗證您的網站憑證文件。只需要簽署新的憑證要求即可。但您必須確保每位客戶都知道您的 CA 憑證檔案。