Назад | Перейти на главную страницу

Могу ли я использовать в apache сертификаты RSA и ECC?

Если я просто дважды использую «SSLCertificateFile» и «SSLCertificateKeyFile», цепочка сертификатов будет нарушена для первого.

Могу ли я использовать сертификат RSA и ECC, выданный другим промежуточным сертификатом CA?

==================

Обновление: OpenSSL 1.0.2 Решает проблему. Просто используйте "SSLCertificateFile" и "SSLCertificateKeyFile" дважды. Обратите внимание, что «SSLCertificateFile» должен быть всей цепочкой сертификата.

Это возможно в зависимости от версии Apache и версии OpenSSL.

Параллельное выполнение сертификатов ECC и RSA на Apache с использованием разные для промежуточных сертификатов требуются Apache 2.4.8+ и OpenSSL 1.0.2+.

В sslcertificatefile запись добавлена ​​поддержка промежуточных звеньев с Apache 2.4.8. OpenSSL добавляет возможность загрузки промежуточных продуктов для каждого сертификата, начиная с версии 1.0.2.

Файлы могут также включать промежуточные сертификаты CA, отсортированные от листа к корню. Это поддерживается версией 2.4.8 и новее, и SSLCertificateChainFile устарел. При работе с OpenSSL 1.0.2 или новее это позволяет настраивать промежуточную цепочку CA для каждого сертификата.

Источник: http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcertificatefile

Хотя более ранние версии Apache поддерживают несколько sslcertificatefile записей, он не будет загружать промежуточные данные из этих записей и SSLCertificateChainFile можно использовать только один раз. Поэтому в более ранних версиях вы все еще можете запускать сертификаты ECC / RSA / DSA параллельно, но все они должны использовать одно и то же промежуточное звено.

Но будьте осторожны: предоставление цепочки сертификатов работает только в том случае, если вы используете один сертификат сервера на основе RSA или DSA. Если вы используете пару связанных сертификатов RSA + DSA, это будет работать, только если на самом деле оба сертификата используют одну и ту же цепочку сертификатов. Иначе в этой ситуации браузеры запутаются.

Источник: http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#SSLCertificateChainFile