通过证书服务申请下来的数字证书可以按照通常的方式配置到各种Web服务容器中,但是有些数字证书是带有证书链的,在apache中配置需要注意以下情况:
1. 检查您的数字证书是否带有证书链
用文本编辑器打开您的数字证书(例如: mycert.pem) 后如果是如下信息(有三段 BEGIN CERTIFICATE):
-----BEGIN CERTIFICATE-----
xxxxx......
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxx......
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxx......
-----END CERTIFICATE-----
那么说明您的数字证书是包涵证书链的。
2. 分离证书链
您需要用文本编辑器打开数字证书,复制后两段证书信息(后两段 -----BEGIN CERTIFICATE----- ) 内容到新的文本中,另存为 mycert_chain.crt。
3. 修改文件名称
将原证书文件名称修改为 mycert.crt, 这样您就有了两个文件,分别是原证书文件 mycert.crt 和 证书链文件 mycert_chain.crt。
4. 配置apache
在apache的配置文件中配置:
......
SSLEngine On
SSLCertificateFile conf/ssl.crt/mycert.crt
SSLCertificateKeyFile conf/ssl.key/mycert.key
SSLCertificateChainFile conf/ssl.crt/mycert_chain.crt
......
即可。
.jpg)
