Если я просто дважды использую «SSLCertificateFile» и «SSLCertificateKeyFile», цепочка сертификатов будет нарушена для первого.
Могу ли я использовать сертификат RSA и ECC, выданный другим промежуточным сертификатом CA?
==================
Обновление: OpenSSL 1.0.2 Решает проблему. Просто используйте "SSLCertificateFile" и "SSLCertificateKeyFile" дважды. Обратите внимание, что «SSLCertificateFile» должен быть всей цепочкой сертификата.
Это возможно в зависимости от версии Apache и версии OpenSSL.
Параллельное выполнение сертификатов ECC и RSA на Apache с использованием разные для промежуточных сертификатов требуются Apache 2.4.8+ и OpenSSL 1.0.2+.
В sslcertificatefile
запись добавлена поддержка промежуточных звеньев с Apache 2.4.8. OpenSSL добавляет возможность загрузки промежуточных продуктов для каждого сертификата, начиная с версии 1.0.2.
Файлы могут также включать промежуточные сертификаты CA, отсортированные от листа к корню. Это поддерживается версией 2.4.8 и новее, и SSLCertificateChainFile устарел. При работе с OpenSSL 1.0.2 или новее это позволяет настраивать промежуточную цепочку CA для каждого сертификата.
Источник: http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcertificatefile
Хотя более ранние версии Apache поддерживают несколько sslcertificatefile
записей, он не будет загружать промежуточные данные из этих записей и SSLCertificateChainFile
можно использовать только один раз. Поэтому в более ранних версиях вы все еще можете запускать сертификаты ECC / RSA / DSA параллельно, но все они должны использовать одно и то же промежуточное звено.
Но будьте осторожны: предоставление цепочки сертификатов работает только в том случае, если вы используете один сертификат сервера на основе RSA или DSA. Если вы используете пару связанных сертификатов RSA + DSA, это будет работать, только если на самом деле оба сертификата используют одну и ту же цепочку сертификатов. Иначе в этой ситуации браузеры запутаются.
Источник: http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#SSLCertificateChainFile