При подготовке предупреждений, которые будут появляться в браузерах при посещении сайтов SSL с сертификатами, подписанными SHA1, я хотел получить все сертификаты, которые я обновил.
Часть моей инфраструктуры работает на устаревших серверах на базе CentOS 5.X. И на этих серверах, когда я устанавливаю новые ключи и сертификаты, apache просто умирает при запуске. В error_log нет ничего полезного.
Теперь у DigiCert есть страница совместимости, на которой написано, что для apache требуются следующие версии.
httpd 2.0.63+ с OpenSSL 0.9.8o +
на сервере CentOS 5.X, когда эти пакеты полностью обновлены, я вижу это ...
httpd.x86_64 2.2.3-91.el5.centos
openssl.x86_64 0.9.8e-27.el5_10.4
Так что сразу же я думаю, что проблема с версией 0.9.8e. Но я немного покопался, чтобы увидеть, были ли изменения, связанные с SHA, внесенные в 0.9.8o восходящего проекта openssl, были перенесены RH, и ДЕЙСТВИТЕЛЬНО выглядит так, как будто изменения, связанные с SHA256, были зафиксированы в одном из резервных копий RHEL / CentOS.
Я просмотрел репозиторий git для openssl и нашел то, что похоже на изменение, связанное с SHA 2 в 0.9.8o.
Commit Hash: bc06baca76534abc2048a3ac4d109b144da4b706
Add SHA2 algorithms to SSL_library_init(). Although these aren't used
directly by SSL/TLS SHA2 certificates are becoming more common and
applications that only call SSL_library_init() and not
OpenSSL_add_all_alrgorithms() will fail when verifying certificates.
И в пакете openssl CentOS / RHEL я вижу это в журнале изменений ...
rpm -q --changelog openssl
* Wed Mar 09 2011 Tomas Mraz <t----z@redhat.com> 0.9.8e-18
- add SHA-2 hashes in SSL_library_init() (#676384)
Итак, мне кажется, что у меня должны быть правильные версии httpd и openssl (с исправлением с обратным переносом) для обработки подписанных сертификатов SHA-2.
Итак, мои вопросы. Я что-то упускаю? Есть ли другая неправильная конфигурация apache, которая может вызвать сбой при запуске с этим сертификатом?
Если я ДОЛЖЕН загрузить более новую версию openssl 0.9.8X и выйти за пределы yum, я могу это сделать, но по возможности хочу этого избежать.
Отвечая на свой вопрос ...
Да, CentOS 5 поддерживает сертификаты, подписанные SHA256. Чистая виртуальная машина работает нормально, должна быть проблема с конфигурацией apache.
В error_log ничего полезного нет ...
Присмотритесь к своему ssl_error_log нет ничего полезного в отношении остановок apache из-за материала ssl в error_log. По умолчанию apache использует ssl_error_log ...
Я подозреваю :) что вы обнаружите, что есть какая-то проблема с конфигурацией apache.