просто быстрый вопрос, я немного запутался.
Я создал свой собственный центр сертификации, и я могу создавать запросы и подписывать их. Но я не уверен, что мне нужно дать Apache, в настоящее время у меня есть:
CA Private key
CA Certificate
Website Private key
Website Certificate
Website Certificate Request (I think I do not need it, but just to be clear)
До сегодняшнего дня я использовал сертификат snakeoil, но я решил использовать больше SSL-сервисов, чем CA выглядит как хорошее решение, поэтому мой Apache был настроен хорошо, но теперь я не уверен, что я предоставлю apache в следующих правилах:
SSLCertificateKeyFile /path/to/Website Private Key
SSLCertificateFile /path/to/CA Certificate
Но чем я получил
[Mon Dec 27 12:09:33 2010] [warn] RSA server certificate CommonName (CN) `EServer' does NOT match server name!?
[Mon Dec 27 12:09:33 2010] [error] Unable to configure RSA server private key
[Mon Dec 27 12:09:33 2010] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
Что-то подсказывает мне, что это предупреждение довольно странное, потому что "EServer" - это общее имя CA, поэтому я думаю, что не буду использовать сертификат CA в SSLCertificateFile, должен ли я?
Мне нужно создать сертификат из закрытого ключа веб-сайта или чего-то еще?
Я думаю, вы просто перепутали свой сертификат CA и сертификат своего веб-сайта:
SSLCACertificateFile <your CA cert file>
SSLCertificateFile <your website cert file>
Вы настроили закрытый ключ своего веб-сайта с файлом сертификата CA. Эти два не подходят.
Дополнительная информация:
Вам не нужно настраивать файл закрытого ключа CA в вашем apache, так как он не требуется для проверки файла сертификата вашего веб-сайта. Просто нужно подписывать новые запросы сертификатов. Но вы должны убедиться, что каждый клиент знает ваш файл сертификата CA.