开启辅助访问
快捷导航
搜索
板块 服务支持专区 技术支持
8 7861

apache mod_ssl怎样向浏览器发送多条证书链?

webmaste-258 于 2014-8-18 23:12 发表 [复制链接]
我用的是CentOS 6自带的apache和mod_ssl,更新到了最新。

免费证书有多条证书链。一条是startcom的旧链,一条是沃通新根证书,另一条是WoSign1999(暂不考虑)。
我目前的证书链SSLCACertificateFile是这样的:

  1. -----BEGIN CERTIFICATE-----
  2. // 旧的沃通 DV 服务器根证书
  3. // 9f c0 b2 b7 fb 26 ff ce 71 c0 61 03 42 1a 02 f1 15 52 24 d4
  4. -----END CERTIFICATE-----

  6. -----BEGIN CERTIFICATE-----
  7. // 旧的Certification Authority of WoSign
  8. // 86 82 41 c8 b8 5a f7 9e 2d ac 79 ed ad b7 23 e8 2a 36 af c3
  9. -----END CERTIFICATE-----

  11. -----BEGIN CERTIFICATE-----
  12. // 新的沃通 DV 服务器根证书
  13. // b3 fd 5b a4 2b 8d 19 6d e4 f1 62 46 cf 2f d6 0e c2 c9 03 e9
  14. -----END CERTIFICATE-----
复制代码



这样设置的结果是,浏览器只会检查第一条证书(当然,因为是StartCom验证,浏览器都支持),但是 https://www.ssllabs.com/ssltest 显示并未收到新的沃通 DV 服务器根证书。

如果我把新的沃通 DV 服务器根证书换到第一个,firefox 31会提示证书错误,也就是说没检查后面的那条证书链。

请问怎么设置才能让新的根证书优先,但旧浏览器也能收到Startcom的那条证书链?
举报 使用道具
| 回复

共 8 个关于apache mod_ssl怎样向浏览器发送多条证书链?的回复 最后回复于 2014-8-22 15:38

WS_Daniel 版主 发表于 2014-8-19 08:31:42 | 显示全部楼层
新的沃通 DV 服务器根证书换到第一个,firefox 31会提示证书错误——估计你没把交叉根和顶级根一起集合到中级根中去,火狐才会提示。你这样把三个根集合进去后。配置到apache中指定根证书的地方。然后在测试下
举报 使用道具
回复 支持 反对
webmaste-258 新手上路 发表于 2014-8-19 15:35:41 | 显示全部楼层
WS_Daniel 发表于 2014-8-19 08:31
新的沃通 DV 服务器根证书换到第一个,firefox 31会提示证书错误——估计你没把交叉根和顶级根一起集合到中 ...

我把顶级根加进去也没用。

你可以试试看这个: wosign_bundle.zip (6.91 KB, 下载次数: 5)
举报 使用道具
回复 支持 反对
WS_Daniel 版主 发表于 2014-8-21 09:44:59 | 显示全部楼层
本帖最后由 WS_Daniel 于 2014-8-21 09:46 编辑
webmaste-258 发表于 2014-8-19 15:35
我把顶级根加进去也没用。

你可以试试看这个:

看了下你给的根文件。里面的字符串根都乱成一起了。这样肯定不行呀。我给你发一个吧。看附件
把我这个根证书安装到apache中根证书地方去

StartCom_three_DV.rar

4.54 KB, 下载次数: 10
举报 使用道具
回复 支持 反对
0721xsp 金牌会员 发表于 2014-8-21 10:36:08 | 显示全部楼层
赞!
举报 使用道具
回复
webmaste-258 新手上路 发表于 2014-8-21 18:38:17 | 显示全部楼层
本帖最后由 webmaste-258 于 2014-8-21 18:40 编辑
WS_Daniel 发表于 2014-8-21 09:44
看了下你给的根文件。里面的字符串根都乱成一起了。这样肯定不行呀。我给你发一个吧。看附件
把我这个根 ...

你这里面只包含了startcom的那条证书链,没有包含新的沃通根和沃通DV根(注意新沃通DV根和startcom那个沃通DV根是两张不同的证书)。即使使用firefox32,照样优先走的是startcom的链,新DV根则需要从沃通的证书服务器额外下载。
举报 使用道具
回复 支持 反对
WS_Daniel 版主 发表于 2014-8-22 09:46:59 | 显示全部楼层
注意之前免费的SSL CA 沃通根证书 是暂时不支持火狐滴。所以建议您还是startcom的根哦
举报 使用道具
回复 支持 反对
webmaste-258 新手上路 发表于 2014-8-22 13:25:01 | 显示全部楼层
本帖最后由 webmaste-258 于 2014-8-22 13:26 编辑
WS_Daniel 发表于 2014-8-22 09:46
注意之前免费的SSL CA 沃通根证书 是暂时不支持火狐滴。所以建议您还是startcom的根哦

以前的那张 868241c8b85af79e2dac79edadb723e82a36afc3 (Certification Authority of WoSign)不被ff支持,所以是靠startcom的交叉签名来认证的。

但现在有了两张新证书已加入了NSS 3.16.3,分别是:
(1) Certification Authority of WoSign
B9:42:94:BF:91:EA:8F:B6:4B:E6:10:97:C7:FB:00:13:59:B6:76:CB
(2) CA 沃通根证书
16:32:47:8D:89:F9:21:3A:92:00:85:63:F5:A4:A7:D3:12:40:8A:D6

我测试过新签的免费证书,是有16:32这张证书链的。
我想问,能否让浏览器优先走16:32证书链(比如FF32),如果不支持(比如FF31),则走startcom证书链?
举报 使用道具
回复 支持 反对
WS_Daniel 版主 发表于 2014-8-22 15:38:47 | 显示全部楼层
您是否有QQ。您可以加我这个QQ 1465836420 咱Q 讨论
举报 使用道具
回复 支持 反对
返回列表
B Color Image Link Quote Code Smilies
高级模式
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖

版块推荐百宝箱

快速回复 返回顶部 返回列表