SHA1署名付き証明書を使用してSSLサイトにアクセスしたときにブラウザーに表示される警告に備えて、アップグレードしたすべての証明書を取得したいと思いました。
私のインフラストラクチャの一部は、「レガシー」CentOS5.Xベースのサーバーで実行されています。そして、それらのサーバーでは、新しいキーと証明書をインストールすると、Apacheは起動時に単に停止します。 error_logには何も役に立ちません。
現在、DigiCertには、Apacheの場合、次のバージョンが必要であるという互換性ページがあります。
httpd 2.0.63 + w/OpenSSL 0.9.8o +
centOS 5.Xサーバーでは、これらのパッケージが完全に更新されて更新されています。
httpd.x86_64 2.2.3-91.el5.centos
openssl.x86_64 0.9.8e-27.el5_10.4
ですから、すぐに0.9.8eが問題になるのではないかと思います。しかし、上流のopensslプロジェクトの0.9.8oで導入されたSHA関連の変更がRHによってバックポートされているかどうかを確認するために少し掘り下げましたが、SHA256関連の変更が1つでコミットされたかのように見えますRHEL/CentOSバックポートの.
Gitリポジトリでopensslを調べたところ、0.9.8oでSHA 2関連の変更があったように見えました。
Commit Hash: bc06baca76534abc2048a3ac4d109b144da4b706
Add SHA2 algorithms to SSL_library_init(). Although these aren't used
directly by SSL/TLS SHA2 certificates are becoming more common and
applications that only call SSL_library_init() and not
OpenSSL_add_all_alrgorithms() will fail when verifying certificates.
そして、CentOS/RHEL openssl pacakgeでは、これが変更ログに表示されます...
rpm -q --changelog openssl
* Wed Mar 09 2011 Tomas Mraz <[email protected]> 0.9.8e-18
- add SHA-2 hashes in SSL_library_init() (#676384)
したがって、私には、SHA-2署名付き証明書を処理するために適切なバージョンのhttpdとopenssl(バックポートされた修正を含む)が必要であるように思われます。
だから私の質問。私は何かが足りないのですか?この証明書を使用して起動したときにクラッシュを引き起こす可能性のある他のApacheの設定ミスはありますか?
新しいバージョンのopenssl0.9.8Xをダウンロードしてyumの外に出なければならない場合は、それを行うことができますが、可能であればそれを避けたいと思います。
私自身の質問に答える...
はい、CentOS5はSHA256署名付き証明書をサポートします。クリーンVMは問題なく機能します。Apache構成に問題があるはずです。
Error_logには何も役に立ちません...
ssl_error_log error_logにsslが含まれているためにApacheが停止することに関して有用なことは何もありません。デフォルトでは、Apacheはssl_error_logを使用します...
私は:)Apacheの設定に問題があることに気付くと思います。