Цепочка сертификатов SSL для одного из моих веб-сайтов является неполной, и я узнал, что мне следует указать промежуточный сертификат в файле виртуальных хостов.
Comodo отправил мне два промежуточных сертификата с основным PositiveSSL, COMODORSAAddTrustCA.crt и COMODORSADomainValidationSecureServerCA.crt. Они оба в формате
-----BEGIN CERTIFICATE-----
somegibberish
somegibberish
somegibberish
somegibberish
-----END CERTIFICATE-----
Итак, они выглядели готовыми к использованию. Когда я купил SSL для своего веб-сайта в декабре, я загрузил оба этих промежуточных звена, а также основной сертификат PositiveSSL в ту же папку. Я добавил строки SSLCertificateChainFile... ниже.
<VirtualHost *:443>
...
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/domain.com/domain.com.crt
SSLCertificateKeyFile /etc/apache2/ssl/domain.com/domain.com.key
SSLCertificateChainFile /etc/apache2/ssl/domain.com/COMODORSAAddTrustCA.crt
SSLCertificateChainFile /etc/apache2/ssl/domain.com/COMODORSADomainValidationSecureServerCA.crt
Я тогда побежал service apache2 reload в командной оболочке после этого без проблем.
Я все сделал правильно?
Обновить: я смотрел на эта страница, который говорит, что SSLCertificateChainFile устарела, и я должен поместить все сертификаты в основной файл сертификата в определенном порядке. Я попробовал это, перезагрузил apache2, и пока никаких явных проблем нет.
Нашел правильную конфигурацию:
<VirtualHost *:443>
...
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/domain.com/domain.com.crt
SSLCertificateKeyFile /etc/apache2/ssl/domain.com/domain.com.key
SSLCertificateChainFile /etc/apache2/ssl/domain.com/COMODORSADomainValidationSecureServerCA.crt
В COMODORSADomainValidationSecureServerCA.crt Я скопировал и вставил содержимое COMODORSAAddTrustCA.crt внизу.
После перезагрузки Apache и запуска сайта через Проверка SSL сеть была признана действительной.