Unterschied zwischen SSLCACertificateFile und SSLCertificateChainFile

Ich SSL-Seiten auf meinem web-server, und ich habe eine Frage.
Was ist der Unterschied zwischen SSLCACertificateFile und SSLCertificateChainFile?

Wenn ich SSLCertificateChainFile, ich habe die Warnungen aus dem japanischen Handy-browser, aber wenn ich über PC-browser(wie IE, FF), war es kein problem.
Auf der anderen Seite, SSLCACertificateFile nicht die Ursache jedes problem für beide Browser.

Ist, gibt es einen Unterschied, wenn Browser eine Verbindung zu apache?

InformationsquelleAutor der Frage nam | 2009-12-14

  1. 62

    SSLCertificateChainFile war die richtige option zu wählen, aber diese Richtlinie wurde überflüssig wie der Apache-2.4.8. Diese Richtlinie verursacht die angegebene Datei gesendet werden zusammen mit dem Zertifikat auf allen clients, die eine Verbindung herstellen.

    SSLCACertificateFile (nachfolgend "CACert") ersetzt SSLCertificateChainFile (nachfolgend "Kette"), und zusätzlich erlaubt die Nutzung des cert in Frage zu Zeichen client Zertifikate. Diese Art der Authentifizierung ist sehr selten (zumindest für den moment), und wenn Sie ihn nicht benutzen, es gibt IMHO keinen Grund, um zu erhöhen Ihre Funktionalität durch die Verwendung von CACert statt Kette. Auf der anderen Seite könnte man argumentieren, dass es keinen Schaden in der zusätzlichen Funktionalität, und CACert deckt alle Fälle ab. Beide Argumente sind gültig.

    Unnötig zu sagen, wenn Sie Fragen der cert Verkäufer, werden Sie immer push für CACert über Kette, da es gibt Ihnen eine andere Sache (client-certs), dass Sie potentiell verkaufen Sie auf der ganzen Linie. 😉

    InformationsquelleAutor der Antwort

  2. 17

    Eigentlich beide gültig sind Optionen.

    Verwenden SSLCertificateChainFile zu veröffentlichen, die Ihr Zertifikat unterschrieben von öffentlichen Zertifizierungsstelle (VeriSign, RapidSSL, etc.)

    Verwenden SSLCACertificateFile Ihre 'privaten' CA, kann das Thema client-Zertifikate, die Sie verteilen können und einige ausgewählte Nutzer. Diese client Zertifikate sind eigentlich Super für die Authentifizierung (im Vergleich mit der basic-Authentifizierung ein Passwort), und in der Regel nicht erforderlich, um die verteilt werden, die von einer öffentlichen ZERTIFIZIERUNGSSTELLE (somit können Sie Geld sparen).

    Also, wenn Sie hinzufügen möchten eine sichere Autorisierung zu einem gewissen Teil Ihre Website, dies zu tun:

    <Directory /var/www/html/authorized>
  SSLVerifyClient require
  SSLVerifyDepth  5

  SSLOptions +StrictRequire
  SSLUserName SSL_CLIENT_S_DN_CN
  SSLRequireSSL
</Directory>

    Nur für kurze Erklärung SSLUserName SSL_CLIENT_S_DN_CN wird, legen Sie die authentifizierten Benutzer Namen Zertifikat CommonName, im Vergleich zu den ganzen x509 '/OU=Foo/CN=... " Subjekt.

    InformationsquelleAutor der Antwort Alexander Pogrebnyak

Schreibe einen Kommentar