Kami memiliki Sertifikat SSL untuk situs web kami dari Network Solutions. Setelah memutakhirkan Apache / OpenSSL ke versi 2.4.9, saya sekarang mendapatkan peringatan berikut saat memulai HTTPD:
AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is deprecated, SSLCertificateFile should be used instead
Menurut manual Apache untuk mod_ssl ini memang benar:
SSLCertificateChainFile sudah usang
SSLCertificateChainFile menjadi usang dengan versi 2.4.8, ketika SSLCertificateFile diperluas untuk juga memuat sertifikat CA menengah dari file sertifikat server.
Mencari dokumentasi untuk SSLCertificateFile , sepertinya saya hanya perlu mengganti panggilan saya ke SSLCertificateChainFile dengan SSLCertificateFile .
Perubahan ini mengubah ssl.conf saya dari ini:
SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt
SSLCertificateKeyFile /etc/ssl/server.key
SSLCertificateChainFile /etc/ssl/Apache_Plesk_Install.txt
untuk ini:
SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt
SSLCertificateFile /etc/ssl/Apache_Plesk_Install.txt
SSLCertificateKeyFile /etc/ssl/server.key
... tapi ini tidak berhasil. Apache menolak untuk memulai tanpa pesan kesalahan.
Saya tidak yakin harus mencoba apa lagi di sini, karena saya tidak terlalu mengenal mod_ssl atau sertifikat SSL secara umum. Saya ingat kami perlu menambahkan file Apache_Plesk_Install.txt untuk Internet Explorer agar tidak memiliki peringatan SSL di situs kami, tetapi selain itu saya tidak memiliki petunjuk.
Bantuan apa pun akan sangat dihargai. Terima kasih.
sumber
Jawaban:
Saya memiliki masalah yang sama. Saya baru saja mengganti baris-baris ini
/etc/apache2/site-enabled/default-ssl.conf
Seperti yang Anda lihat, saya baru saja berkomentar
SSLCertificateChainFile
. Kemudian, melihat kesalahan yang sama seperti Anda, saya bersambung isi dari sayachain.crt
di akhir daridomain.crt
, seperti:Dan itu bekerja seperti pesona.
sumber
Saya menggunakan skrip berikut untuk membuat bundel sertifikat yang berisi sertifikat dirantai.
Untuk menggunakannya, mulai dengan sertifikat server dan secara berurutan melalui sertifikat perantara dalam rantai sertifikat kembali ke sertifikat root.
di mana nama sertifikat yang sesuai diganti dengan nama sertifikat asli Anda.
sumber
Memiliki sertifikat situs, perantara juga dalam file yang ditentukan oleh arahan SSLCertificateFile dan kunci pribadi digabungkan dalam file yang ditentukan oleh SSLCertificateKeyFile dan Anda harus siap. Meskipun Anda bisa memiliki kunci pribadi dalam file yang sama dengan sertifikat tetapi itu tidak dianjurkan. Silakan periksa dokumentasi untuk lebih jelasnya:
http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslcertificatefile
Saya akan merekomendasikan bahwa sertifikat CA root bukan bagian dari SSLCertificateFile karena klien harus memiliki root sertifikat CA sebagai tepercaya untuk validasi sertifikat agar berfungsi seperti yang dirancang.
Juga, jika tidak ada apa pun di log kesalahan apache maka orang dapat menempatkan log kesalahan ke rincian yang lebih baik seperti dalamhttp://httpd.apache.org/docs/current/mod/core.html#loglevel
sumber