Úvodní stránka » Návody » Apache a direktiva SSLCertificateChainFile

Apache a direktiva SSLCertificateChainFile

(5. 8. 2015) Dnešní článek je věnován uživatelům webového serveru Apache. Od verze 2.4 Apache ukončuje podporu direktivy SSLCertificateChainFile, což administrátorům v důsledku výrazně zjednodušuje instalaci certifikátu.

Symbol serveru Apache

Direktiva SSLCertificateChainFile končí

Apache ve verzi 2.4 (která je například součástí oblíbeného Debianu 8 Jessie) ukončuje podporu direktivy SSLCertificateChainFile. Mohli jste si toho všimnout při povýšení verze Apache, kdy server (s původní konfigurací) ukazuje toto varování:

AH02559: The SSLCertificateChainFile directive  is deprecated, SSLCertificateFile should be used instead

Znamená to, že intermediate certifikát se už v Apachi nebude odkazovat samostatnou direktivou, ale má být v direktivě SSLCertificateFile a tedy součástí souboru se SSL certifikátem.

Stačí stávající intermediate certifikát vložit za SSL certifikát (do jednoho souboru) a vše bude v pořádku.

Jak intermediate používat u starších verzí?

Před změnou nastavení doporučuji ověřit, zdali se změna týká i vašeho serveru. Verzi svého Apache na serveru zjistíte příkazem dpkg -s apache2 | grep Version V Debianu 8 Jessie je Apache ve verzi 2.4.10.

U verze 2.4 můžete nastavovat pouze soubor s certifikátem a na SSLCertificateChainFile zapomenout. U starších verzí je potřeba intermediate certifikát (CA certifikát) definovat.

Přehled verzí Apache v Debianu a nastavení intermediate certifikátu

Podpora SSLCertificateFile je v jednotlivých verzích následující:

Debian 8 a Apache 2.4.10 -  podporuje, netřeba zvláštní direktivy SSLCertificateChainFile pro certifikát CA. Fungují oba způsoby - přidání intermediatu k certifikátu v SSLCertificateFile, nebo použití SSLCertificateChainFile.

Debian 7 a httpd 2.2.22 - vyžaduje samostatný certifikát v SSLCertificateChainFile, ale soubor s certifikátem může obsahovat i intermediate.

Debian 6 a httpd 2.2.16 - vyžaduje samostatný certifikát v SSLCertificateChainFile, ale soubor s certifikátem může obsahovat i intermediate.

U Apache 2.2 můžete vložit do SSLCertificateFile a SSLCertificateChainFile (i SSLCACertificateFile) stejný soubor s oběma certifikáty.

Ve všech verzích Apache může být intermediate nastaven v direktivě SSLCACertificateFile; ta je sice určena pro CA klientských certifikátů, ale funguje to.

Bc. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Přidat komentář

Zvýrazněné položky jsou povinné.

Přehled komentářů

  1. cert-chain-resolver (Jan Žák, 5.8.2015 15:48:35) Odpovědět

    Pro případy, když někomu chybí intermediate certifikáty, jsem napsal jednoduchý shell script který je všechny najde a zkombinuje do jednoho souboru. Ten se pak dá použít v SSLCertificateFile.

    https://github.com/zakjan/cert-chain-resolver


Rubriky

  • Aktuality
  • Novinky ze SSLmarketu
  • Bezpečnost
  • Zajímavosti o SSL
  • Návody k SSL
  • Týden v bezpečnosti
  • Speciály

  • Jak šifrovaně tunelovat s OpenVPN
  • Dvoufaktorová autentizace
  • Spojte se s námi

  • RSS kanál SSL blogu
  • SSLmarket na Facebooku
  • SSLmarket na Twitteru
  • SSLmarket na Google+
  • Kontakt
  • SSL market