অ্যাপাচি এর অবহেলিত এসএসএল সার্টিফিকেট চেইনফিলের নির্দেশিকা (এএইচ 252559)

সম্প্রতি আমি অ্যাপাচি ২.২ থেকে ২.৪ থেকে আপগ্রেড করেছি এবং কীভাবে কোনও SSLCertificateChainFileনির্দেশকে হ্রাস করা যায় তা আমি বুঝতে পারি না ।

ভূল:

me@jessie:~$ sudo apache2ctl configtest 
AH02559: The SSLCertificateChainFile directive (/etc/apache2/sites-enabled/https.conf:103) is deprecated, SSLCertificateFile should be used instead
Syntax OK

আমার বর্তমান সেটিংস:

SSLCertificateFile    /etc/apache2/cert/ssl.crt
SSLCertificateKeyFile /etc/apache2/cert/ssl.key
SSLCertificateChainFile /etc/apache2/cert/sub.class1.server.sha2.ca.pem
SSLCACertificateFile /etc/apache2/cert/ca.pem

শংসাপত্রটি স্টার্টকোমে স্বাক্ষরিত। ম্যানুয়াল বলছে, এখন পুরো চেইনটি একটি ফাইলের মধ্যে থাকা উচিত, যা SSLCertificateFileনির্দেশ দ্বারা নির্দিষ্ট করা হয়েছিল , তবে কী কী এবং কোন আদেশে আমার এই ফাইলটিতে সম্মতি জানাতে হবে তা আমি জানি না।

আপনি এটি আপনার অ্যাপাচি কনফিগারেশনে ব্যবহার করছেন:

SSLCertificateFile    /etc/apache2/cert/ssl.crt
SSLCertificateKeyFile /etc/apache2/cert/ssl.key

/etc/apache2/cert/ssl.crtফাইল থাকা উচিত

1. উদাঃ yourdomain.com এর শংসাপত্র
2. প্রথম মধ্যবর্তী সিএর শংসাপত্র, রুট সিএ স্বাক্ষরিত (যেমন স্টার্টকম ক্লাস 1 প্রাথমিক ইন্টারমিডিয়েট সার্ভার সিএ)
3. দ্বিতীয় মধ্যবর্তী সিএর শংসাপত্র, প্রথম মধ্যবর্তী সিএ দ্বারা স্বাক্ষরিত (যদি আপনার শংসাপত্র শৃঙ্খলে দ্বিতীয় মধ্যবর্তী সিএ থাকে)

Crt ফাইলে আপনাকে মধ্যবর্তী সিএর সমস্ত শংসাপত্র রাখতে হবে। আপনার শংসাপত্রের শংসাপত্র শৃঙ্খলার উপর নির্ভর করে ইনভলভড সিএর বিভিন্ন সংখ্যা থাকবে।

এমনকি আপনাকে মূল সিএ যোগ করার দরকার নেই, কারণ এটি কোনও ক্লায়েন্টের ট্রাস্ট স্টোরে থাকতে হবে, অন্যথায় ক্লায়েন্টরা একটি ত্রুটি পৃষ্ঠা পাবে, এছাড়াও, আপনি যদি এটি আপনার চেইনে যুক্ত করেন তবে এটি কেবল অতিরিক্ত ওভারহেড হবে এসএসএল সংযোগ স্থাপন করা হচ্ছে, কারণ এটি প্রতিটি নতুন এসএসএল সেশনের জন্য স্থানান্তর করতে হবে। প্রকৃতপক্ষে বেশিরভাগ ক্লায়েন্টের মধ্যে অন্তর্বর্তী সিএ শংসাপত্রও ইনস্টল থাকবে, তবে কিছু নাও পারে, যেমন মোবাইল ফোনে অনেক ইন্টারমিডিয়েট সিএ শংসাপত্র নেই, তাই আমি অবশ্যই সেগুলি যুক্ত করব।

/etc/apache2/cert/ssl.keyফাইল, একই, যা থাকবে তা yourdomain.com সার্টিফিকেট জন্য কী থাকতে হবে

ঠিক আছে, পরিশেষে এটি ইদানীং খুঁজে পেয়েছেন এবং উত্তর ফর্মটিতে বিশদ পোস্ট করার সিদ্ধান্ত নিয়েছে।

এখন স্টার্টএসএল জিপ-সংরক্ষণাগারে শংসাপত্র রাখে যখন আপনি এটি পুনরুদ্ধার করেন এবং সেখানে প্রচুর অন্তর্ভুক্ত সংরক্ষণাগার রয়েছে, বিশেষ আগ্রহের ApacheServer.zipএকটি হ'ল একটি অ্যাপাচি> 2.4- সামঞ্জস্যপূর্ণ ফর্ম। অ্যাপাচি ফোল্ডারের ফাইলগুলি হ'ল:

1_root_bundle.crt
2_myhost.tld.crt

আপনাকে SSLCertificateFileএই দুটি শংসাপত্রই তৈরি করতে হবে তবে এই ক্রমে:

cat 2_myhost.tld.crt 1_root_bundle.crt > myhost.tld_combined.crt

সাইটের কনফিডে এটি ঠিক হবে:

    SSLCertificateFile    /etc/apache2/cert/myhost.tld_combined.crt
    SSLCertificateKeyFile /etc/apache2/cert/myhost.tld.key

এবং সব ভাল হবে, এমনকি Qualys SSL পরীক্ষা ।

এটি স্টার্টকম স্টার্টএসএল, পাশাপাশি ওউসাইন শংসাপত্রগুলির জন্য কাজ করে। ফরম্যাট একই।