Cảnh báo khấu hao SSLCertertChainFile trên Apache 2.4.8+

Chúng tôi có Chứng chỉ SSL cho trang web của chúng tôi từ Giải pháp Mạng. Sau khi nâng cấp Apache / OpenSSL lên phiên bản 2.4.9, bây giờ tôi nhận được cảnh báo sau khi bắt đầu HTTPD:

AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is deprecated, SSLCertificateFile should be used instead

Theo hướng dẫn sử dụng Apache cho mod_ssl thì đây thực sự là trường hợp:

SSLCertertChainFile không được dùng nữa

SSLCertertChainFile đã trở nên lỗi thời với phiên bản 2.4.8, khi SSLCert veFile được mở rộng để tải các chứng chỉ CA trung gian từ tệp chứng chỉ máy chủ.

Tra cứu tài liệu về SSLCertertFile , có vẻ như tôi chỉ cần thay thế cuộc gọi của mình với SSLCert veChainFile bằng SSLCertertFile .

Thay đổi này đã biến ssl.conf của tôi từ đây:

SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt
SSLCertificateKeyFile /etc/ssl/server.key
SSLCertificateChainFile /etc/ssl/Apache_Plesk_Install.txt

đến đây:

SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt
SSLCertificateFile /etc/ssl/Apache_Plesk_Install.txt
SSLCertificateKeyFile /etc/ssl/server.key

... nhưng điều này không hoạt động. Apache chỉ đơn giản là từ chối bắt đầu mà không có bất kỳ thông báo lỗi nào.

Tôi không chắc chắn những gì khác để thử ở đây, vì tôi không quen thuộc với chứng chỉ mod_ssl hoặc SSL nói chung. Tôi nhớ rằng chúng tôi cần thêm tệp Apache_Plesk_Install.txt cho Internet Explorer để không có cảnh báo SSL trên trang web của chúng tôi, nhưng ngoài điều này tôi không có manh mối.

Mọi sự trợ giúp sẽ rất được trân trọng. Cảm ơn.

Tôi gặp vấn đề tương tự. Tôi chỉ thay thế những dòng này trong/etc/apache2/site-enabled/default-ssl.conf

SSLCertificateFile    /etc/ssl/certs/domain.crt
SSLCertificateKeyFile /etc/ssl/private/domain.key
#SSLCertificateChainFile /etc/apache2/ssl.crt/chain.crt

Như bạn thấy, tôi chỉ nhận xét ra SSLCertificateChainFile. Sau đó, nhìn thấy những lỗi tương tự như bạn, tôi nối nội dung của tôi chain.crt vào cuối của domain.crt, như vậy:

root@host~: cat /etc/apache2/ssl.crt/chain.crt >> /etc/ssl/certs/domain.crt

Và nó làm việc như một lá bùa.

Tôi sử dụng tập lệnh sau để tạo gói chứng chỉ có chứa chứng chỉ chuỗi.

#!/bin/sh
#
# Convert PEM Certificate to ca-bundle.crt format
#

test ! $1 && printf "Usage: `basename $0` certificate" && exit 1

# Friendly Name and Underline Friendly Name with equal signs
openssl x509 -in $1 -text -noout | sed -e 's/^  *Subject:.*CN=\([^,]*\).*/\1/p;t  c' -e 'd;:c' -e 's/./=/g'
# Output Fingerprint and swap = for :
openssl x509 -in $1 -noout -fingerprint | sed -e 's/=/: /'
# Output PEM Data:
echo 'PEM Data:'
# Output Certificate
openssl x509 -in $1
# Output Certificate text swapping Certificate with Certificate Ingredients
openssl x509 -in $1 -text -noout | sed -e 's/^Certificate:/Certificate Ingredients:/'

Để sử dụng nó, bắt đầu với chứng chỉ máy chủ và tuần tự thông qua bất kỳ chứng chỉ trung gian nào trong chuỗi chứng chỉ trở lại chứng chỉ gốc.

./bundle.sh myserver.crt >myserver.chain
./bundle.sh intermediate.crt >>myserver.chain
./bundle.sh root.crt >>myserver.chain

trong đó tên chứng chỉ phù hợp được thay thế bằng tên chứng chỉ thực của bạn.

Có chứng chỉ trang web, các trung gian cũng như trong một tệp được chỉ định bởi chỉ thị SSLCertertFile và khóa riêng được nối trong một tệp được chỉ định bởi SSLCertulerKeyFile và bạn sẽ được thiết lập tất cả. Mặc dù bạn có thể có khóa riêng trong cùng một tệp với chứng chỉ nhưng điều đó không được khuyến khích. Vui lòng kiểm tra tài liệu để biết thêm chi tiết:
http://httpd.apache.org/docs/civerse/mod/mod_ssl.html#sslcert vefile
Tôi muốn giới thiệu rằng chứng chỉ CA gốc không phải là một phần của SSLCertertFile chứng chỉ CA gốc được tin cậy để xác thực chứng chỉ hoạt động như thiết kế.
Ngoài ra, nếu không có gì trong nhật ký lỗi apache thì người ta có thể đặt nhật ký lỗi thành mức độ chi tiết tốt hơn như tronghttp://httpd.apache.org/docs/cản/mod/core.html#loglevel