web-dev-qa-db-ja.com

apacheでRSA証明書とECC証明書の両方を使用できますか?

「SSLCertificateFile」と「SSLCertificateKeyFile」を2回使用すると、最初の証明書チェーンが壊れます。

異なる中間CA証明書から発行されたRSA証明書とECC証明書の両方を使用できますか?

==================

更新:OpenSSL1.0.2問題を解決します。 「SSLCertificateFile」と「SSLCertificateKeyFile」を2回使用するだけです。 「SSLCertificateFile」は証明書のチェーン全体である必要があることに注意してください。

5
lizitian

これは、ApacheバージョンとOpenSSLバージョンの両方に応じて可能です。

different中間証明書を使用してApacheでECCおよびRSA証明書を並行して実行するには、Apache2.4.8 +およびOpenSSL1.0.2 +が必要です。

sslcertificatefileエントリは、Apache2.4.8以降の中間体のサポートを追加しました。 OpenSSLは、バージョン1.0.2以降、証明書ごとに中間体をロードする機能を追加します。

ファイルには、リーフからルートにソートされた中間CA証明書が含まれる場合もあります。これはバージョン2.4.8以降でサポートされており、SSLCertificateChainFileは廃止されています。 OpenSSL 1.0.2以降で実行している場合、これにより、証明書ごとに中間CAチェーンを構成できます。

ソース: http://httpd.Apache.org/docs/2.4/mod/mod_ssl.html#sslcertificatefile

以前のバージョンのApacheは複数のsslcertificatefileエントリをサポートしていますが、それらのエントリから中間体をロードせず、SSLCertificateChainFileは1回しか使用できません。したがって、以前のバージョンでは、ECC/RSA/DSA証明書を並行して実行できますが、すべて同じ中間体を使用する必要があります。

ただし、注意してください。証明書チェーンの提供は、単一のRSAまたはDSAベースのサーバー証明書を使用している場合にのみ機能します。結合されたRSA + DSA証明書ペアを使用している場合、これは実際に両方の証明書が同じ証明書チェーンを使用している場合にのみ機能します。そうしないと、この状況でブラウザが混乱します。

ソース: http://httpd.Apache.org/docs/2.4/mod/mod_ssl.html#SSLCertificateChainFile

2
Gregordinary