1

我对 Apache + OpenSSL 的证书文件有疑问。

  1. 我从服务器生成了以下基本证书文件:

    /usr/share/ssl/csr/mydomain.csr.pem /usr/share/ssl/private/mydomain.key.pem

  2. 在购买 Comodo 的 Positive SSL 后,我已将mydomain.csr.pem发送给 CA 机构

    http://www.namecheap.com/ssl-certificates/comodo.aspx

  3. 它已获得批准并获得三个*.crt文件,它们是:

    AddTrustExternalCARoot.crt PositiveSSLCA2.crt mydomain_com.crt

  4. 基于 Apache 导师

    http://www.apache.com/resources/how-to-setup-an-ssl-certificate-on-apache/

看起来我只需要使用mydomain_com.crt并将其放入

/usr/share/ssl/certs/mydomain_com.crt

  1. 我的问题是,我与这两个文件有什么关系?

    AddTrustExternalCARoot.crt PositiveSSLCA2.crt

看起来没有必要,那么这些文件给我们的是什么?如果它们被使用,那么何时以及如何使用?

4

1 回答 1

1

您可能需要PositiveSSLCA2.crt在 Apache 配置中指定。如果 HTTP 客户端信任 Comodo,他们应该已经拥有根证书。

我在此页面上找到了配置中间证书的说明。基本上,您可以PositiveSSLCA2.crt在 Apache 配置中指定SSLCertificateChainFile. 您的客户端可能信任根 CA,但它可能不知道中间证书,因此没有它就无法建立信任。

根 CA 可能仅供您参考,但如果您曾经使用要求您直接指定它的 HTTP 客户端以达到信任目的,则可能需要它。

于 2013-03-15T23:36:54.657 回答