এসএসএল সার্টিফিকেট চেইনফাইলে অ্যাপাচি ২.৪.৮++ অবধি সতর্কতা

নেটওয়ার্ক সলিউশন থেকে আমাদের ওয়েবসাইটের জন্য আমাদের একটি এসএসএল শংসাপত্র রয়েছে। অ্যাপাচি / ওপেনএসএসএল ২.৪.৯ সংস্করণে আপগ্রেড করার পরে, এইচটিটিপিডি শুরু করার সময় আমি এখন নিম্নলিখিত সতর্কতাটি পেয়েছি:

AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is deprecated, SSLCertificateFile should be used instead

Mod_ssl এর জন্য অ্যাপাচি ম্যানুয়াল অনুসারে এটি সত্যই:

এসএসএল সার্টিফিকেট চেইনফাইলে হ্রাস করা হয়েছে

এসএসএল সার্টিফিকেট চেইনফিলটি সংস্করণ ২.৪.৮ সহ অপ্রচলিত হয়ে ওঠে, যখন এসএসএল সার্টিফিটফিলটি সার্ভার শংসাপত্র ফাইল থেকে মধ্যবর্তী সিএ শংসাপত্রগুলি লোড করার জন্য প্রসারিত করা হয়েছিল।

এসএসএল সার্টিফিটফিলের জন্য ডকুমেন্টেশন সন্ধান করে দেখে মনে হচ্ছিল যে আমার এসএসএল সার্টিফিকেট চেইনফাইলে আমার কলটি এসএসসি সার্টিফেটফিলের সাথে প্রতিস্থাপন করা দরকার ।

এই পরিবর্তনটি এটি থেকে আমার এসএসএল.কমকে পরিণত করেছে:

SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt
SSLCertificateKeyFile /etc/ssl/server.key
SSLCertificateChainFile /etc/ssl/Apache_Plesk_Install.txt

এটি:

SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt
SSLCertificateFile /etc/ssl/Apache_Plesk_Install.txt
SSLCertificateKeyFile /etc/ssl/server.key

... তবে এটি কাজ করে না। অ্যাপাচি কেবল কোনও ত্রুটি বার্তা ছাড়াই শুরু করতে অস্বীকার করে।

আমি এখানে আর কী চেষ্টা করব তা নিশ্চিত নই, কারণ আমি সাধারণভাবে মোড_এসএসএল বা এসএসএল শংসাপত্রগুলির সাথে পরিচিত নই। আমার মনে আছে আমাদের সাইটে এসএসএল সতর্কতা না থাকার জন্য ইন্টারনেট এক্সপ্লোরারের জন্য আমাদের Apache_Plesk_Install.txt ফাইলটি যুক্ত করা দরকার, তবে এগুলি ছাড়া আমার কোনও ধারণা নেই।

কোন সাহায্যের ব্যাপকভাবে প্রশংসা হবে। ধন্যবাদ।

আমারো একই ইস্যু ছিল. আমি কেবল এই লাইনগুলি প্রতিস্থাপন করেছি/etc/apache2/site-enabled/default-ssl.conf

SSLCertificateFile    /etc/ssl/certs/domain.crt
SSLCertificateKeyFile /etc/ssl/private/domain.key
#SSLCertificateChainFile /etc/apache2/ssl.crt/chain.crt

আপনি দেখতে হিসাবে, আমি শুধু মন্তব্য SSLCertificateChainFile। তারপর, আপনি যেমন একই ভুল এইজন্য, আমি আমার বিষয়বস্তুর ঘনিভূত chain.crt শেষে এর domain.crt, তাই মত:

root@host~: cat /etc/apache2/ssl.crt/chain.crt >> /etc/ssl/certs/domain.crt

এবং এটি একটি কবজ মত কাজ।

শৃঙ্খলাবদ্ধ শংসাপত্র রয়েছে এমন শংসাপত্রের বান্ডিল তৈরি করতে আমি নিম্নলিখিত স্ক্রিপ্টটি ব্যবহার করি।

#!/bin/sh
#
# Convert PEM Certificate to ca-bundle.crt format
#

test ! $1 && printf "Usage: `basename $0` certificate" && exit 1

# Friendly Name and Underline Friendly Name with equal signs
openssl x509 -in $1 -text -noout | sed -e 's/^  *Subject:.*CN=\([^,]*\).*/\1/p;t  c' -e 'd;:c' -e 's/./=/g'
# Output Fingerprint and swap = for :
openssl x509 -in $1 -noout -fingerprint | sed -e 's/=/: /'
# Output PEM Data:
echo 'PEM Data:'
# Output Certificate
openssl x509 -in $1
# Output Certificate text swapping Certificate with Certificate Ingredients
openssl x509 -in $1 -text -noout | sed -e 's/^Certificate:/Certificate Ingredients:/'

এটি ব্যবহার করতে, সার্ভার শংসাপত্র দিয়ে শুরু করে এবং ক্রমানুসারে শংসাপত্র শৃঙ্খলে কোনও মধ্যবর্তী শংসাপত্রের মাধ্যমে মূল শংসাপত্রটিতে ফিরে।

./bundle.sh myserver.crt >myserver.chain
./bundle.sh intermediate.crt >>myserver.chain
./bundle.sh root.crt >>myserver.chain

যেখানে উপযুক্ত শংসাপত্রের নামগুলি আপনার আসল শংসাপত্রের নামের সাথে প্রতিস্থাপন করা হবে।

সাইটের সার্টিফিকেট, মধ্যস্থতাকারী পাশাপাশি এসএসএল সার্টিফিটফিল নির্দেশিকা দ্বারা নির্দিষ্ট একটি ফাইলে এবং এসএসসি সার্টিফিকেটকিফায়ার দ্বারা নির্দিষ্ট একটি ফাইলে কনটেট করা প্রাইভেট কী রয়েছে এবং আপনার সমস্ত সেট থাকা উচিত। যদিও আপনার শংসাপত্রগুলির মতো একই ফাইলে প্রাইভেট কী থাকতে পারে তবে তা নিরুত্সাহিত। দয়া করে আরও বিবরণের জন্য ডকুমেন্টেশনটি যাচাই করুন:
http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslcer
ર્ટatefile আমি সুপারিশ করব যে ক্লায়েন্টের উচিত রুট সিএ শংসাপত্রটি SSLCertificateFile এর অংশ নয় শংসাপত্রের বৈধতার জন্য ডিজাইন হিসাবে কাজ করার জন্য শুল্ক সিটি শংসাপত্রকে বিশ্বাসযোগ্য।
এছাড়াও, যদি অ্যাপাচি ত্রুটির লগগুলিতে কিছু না থাকে তবে ত্রুটি লগটি সূক্ষ্ম গ্রানুলারিতে লাগানো যেতে পারেhttp://httpd.apache.org/docs/current/mod/core.html#loglevel