Я пытаюсь настроить SSL на Fedora с помощью apache.
В моем vhost ...
SSLCertificateFile /your/path/to/crt.crt
SSLCertificateKeyFile /your/path/to/key.key
SSLCertificateChainFile /your/path/to/DigiCertCA.crt
У меня он нормально работал с самоподписанным ключом, но не могу заставить его работать с DigiCertCA crt.
Когда я бегу
service httpd restart
Не запускается. Вот что я получаю в журналах ...
[Sat Jan 29 07:57:13 2011] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suex$
[Sat Jan 29 07:57:13 2011] [error] Failed to configure CA certificate chain!
Любая помощь будет очень признательна!
Обновление старой ветки ...
У меня как раз это произошло, когда я создал файл цепочки CA, добавив промежуточный и корневой .crt файлы вместе в новый .ca-bundle файл; проблема заключалась в том, что первый из файлов сертификатов не заканчивался новой строкой, поэтому его строка «КОНЕЦ» и следующая BEGIN линии были соединены вместе, как
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
Я только что отредактировал файл и вставил новую строку, дав:
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
И тогда это сработало.
Убедитесь, что в цепочке, в SSLCertificateChainFile В файле должны быть все сертификаты в порядке от центра сертификации, а затем до любого промежуточного сертификата, который использовался для подписи вашего CRT, иначе вы получите сообщение об ошибке.
Если у вас нет промежуточных сертификатов (глядя на страницу Digicert, похоже, что их нет http://www.digicert.com/ssl-certificate-installation-apache-ensim.htm) вам следует использовать SSLCACertificateFile вместо
Приведенное выше исправление может быть полезно, но для меня исправление было таким:
Если ссылка идет:
Формат в данном случае - p7b (PCKS # 7); чтобы использовать сертификат с apache, вам нужно его преобразовать.
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
В получившемся файле .cer вы отправите сертификат x.509 в комплекте с соответствующими сертификатами CA, разбейте их на соответствующие файлы .crt и ca.crt и загрузите в apache как обычно.
Изначально это был комментарий к @lynxman, но он был слишком длинным.
У меня была эта проблема с использованием сертификата Let's Encrypt с Arch Linux. При загрузке после первого перезапуска через пару месяцев httpd сбой службы с этой ошибкой:
AH01903: Failed to configure CA certificate chain!
Сначала я попробовал продлить сертификат, так как это просто и бесплатно. Мой SSLCertificateChainFile тогда был указан один сертификат вместо двух (?). Итак, я прокомментировал эту строку:
#SSLCertificateChainFile "/etc/letsencrypt/live/mywebsite.com/chain.pem"
Вуаля! Завелась нормально. ¯_ (ツ) _ / ¯
У меня была аналогичная проблема, когда я скопировал цифровой промежуточный сертификат при сохранении сертификата, я по ошибке ввел некоторые символы в файл сертификата, и я не мог перезапустить apache, но когда я удалил символы и перезапустил сервер, он работал.