「SSLCertificateFile」と「SSLCertificateKeyFile」を2回使用すると、最初の証明書チェーンが壊れます。
異なる中間CA証明書から発行されたRSA証明書とECC証明書の両方を使用できますか?
==================
更新:OpenSSL1.0.2問題を解決します。 「SSLCertificateFile」と「SSLCertificateKeyFile」を2回使用するだけです。 「SSLCertificateFile」は証明書のチェーン全体である必要があることに注意してください。
これは、ApacheバージョンとOpenSSLバージョンの両方に応じて可能です。
different中間証明書を使用してApacheでECCおよびRSA証明書を並行して実行するには、Apache2.4.8 +およびOpenSSL1.0.2 +が必要です。
sslcertificatefile
エントリは、Apache2.4.8以降の中間体のサポートを追加しました。 OpenSSLは、バージョン1.0.2以降、証明書ごとに中間体をロードする機能を追加します。
ファイルには、リーフからルートにソートされた中間CA証明書が含まれる場合もあります。これはバージョン2.4.8以降でサポートされており、SSLCertificateChainFileは廃止されています。 OpenSSL 1.0.2以降で実行している場合、これにより、証明書ごとに中間CAチェーンを構成できます。
ソース: http://httpd.Apache.org/docs/2.4/mod/mod_ssl.html#sslcertificatefile
以前のバージョンのApacheは複数のsslcertificatefile
エントリをサポートしていますが、それらのエントリから中間体をロードせず、SSLCertificateChainFile
は1回しか使用できません。したがって、以前のバージョンでは、ECC/RSA/DSA証明書を並行して実行できますが、すべて同じ中間体を使用する必要があります。
ただし、注意してください。証明書チェーンの提供は、単一のRSAまたはDSAベースのサーバー証明書を使用している場合にのみ機能します。結合されたRSA + DSA証明書ペアを使用している場合、これは実際に両方の証明書が同じ証明書チェーンを使用している場合にのみ機能します。そうしないと、この状況でブラウザが混乱します。
ソース: http://httpd.Apache.org/docs/2.4/mod/mod_ssl.html#SSLCertificateChainFile