主页 / server / 问题 / 673033
Accepted
philh
Asked: 2015-03-05 09:04:50 +0800 CST

这个通配符 SSL 证书是从哪里来的?

  • 772

我的公司在同一台服务器上托管 example.com 和 sub.example.com,对 *.example.com 使用通配符 SSL 证书。现在是时候更新我们的证书了,我们不确定我们是如何获得该证书的。我的老板不认为我们支付了他们看起来花费的 200 美元。我的老经理(几天前离开公司)是安装它的人,他不记得具体做了什么,但他认为他必须生成一些东西,而不仅仅是使用 CA 提供的文件.

apache 配置有这些行,没有其他未注释的 SSL*File 行:

SSLCertificateFile /usr/local/ssl/cert/example.com.crt
SSLCACertificateFile /usr/local/ssl/cert/intermediate.crt
SSLCertificateKeyFile /usr/local/ssl/private/example.com-wild.key

当我检查intermediate.crt(openssl x509 -in intermediate.crt -text -noout)时,它根本没有提到我们的组织或网站,它的有效期是2010-2020。

Data:
    Version: 3 (0x2)
    Serial Number: 145105 (0x236d1)
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
    Validity
        Not Before: Feb 19 22:45:05 2010 GMT
        Not After : Feb 18 22:45:05 2020 GMT
    Subject: C=US, O=GeoTrust, Inc., CN=RapidSSL CAb

example.com.crt 是通配符:

Data:
    Version: 3 (0x2)
    Serial Number: 1113972 (0x10ff74)
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: C=US, O=GeoTrust, Inc., CN=RapidSSL CA
    Validity
        Not Before: Mar  1 09:05:39 2014 GMT
        Not After : Mar  4 09:08:54 2015 GMT
    Subject: serialNumber=T0nuTvfeaQVtd3dZ30zGI94HrvUsoRjx, OU=GT53409919, OU=See www.rapidssl.com/resources/cps (c)14, OU=Domain Control Validated - RapidSSL(R), CN=*.example.com

我不了解 SSL 基础设施,所以我想我有一堆相关的问题。如果它们完全不相关,我深表歉意;我不知道我不知道什么。

  • 如果我们不支付 200 美元或其他任何费用,我们是如何获得通配符证书的?(如果我们可以只用intermediate.crt 创建它,我会有点惊讶,因为那样我们可以一直生成它们直到2020 年。但是/usr/local/ssl 中没有其他文件,/etc/pki 中也没有其他文件/tls 自 2013 年以来已被修改,那么我们还能使用什么?如果我的老板只是记错了,我们确实支付了 200 美元或其他东西,我也会感到适度惊讶,但这对我来说似乎是可能的。)

  • 我们从哪里得到intermediate.crt?

  • middle.crt 有什么作用?我有一个自签名通配符证书,在我们的 beta 服务器上工作正常(除了它是自签名的),没有 SSLCACertificateFile 行;我们购买了一个非通配符证书来保护 example.com,我已经设法使用没有 SSLCACertificateFile 的 VirtualHost 安装了该证书,我们正在为我计划的 sub.example.com 获取证书以同样的方式安装。非自签名通配符证书是否需要 SSLCACertificateFile?

    我生成自签名证书的方式感觉可能是相关的:

    openssl req -nodes -new -keyout private/example.com.key -out certs/intermediate.csr
openssl x509 -req -days 365 -in certs/intermediate.csr -signkey private/file.key -out certs/example.com.crt

    但在这种情况下,我不需要在 apache 配置中提及 middle.csr,并且不能openssl x509像 middle.crt 文件一样检查 middle.csr。

apache-2.2

2 个回答

  1. Best Answer
    How did we get the wildcard certificate, if we didn't pay $200 or whatever for it?

    比您现在发现的更便宜的 CA?我相信您会找到价格更低的经销商。

    Where did we get intermediate.crt? What does intermediate.crt do?

    你有它形成你的CA。CA 通常不直接使用其根证书签署证书,而是通过中间证书进行。该中间证书为客户签署证书,然后由浏览器和操作系统信任的根证书签名。这被称为证书链,也是 Apache 有一个单独的参数SSLCACertificateFile来提供从网站证书到 CA 证书的这条链的原因。

    我有一个自签名通配符证书,在我们的 beta 服务器上工作正常(除了它是自签名的),没有 SSLCACertificateFile 行;

    然后您测试的浏览器也信任中间证书,但您不能依赖它。您还可以使用SSLLabs ssltest工具来检查您的链是否不完整或错过了中间(称为额外下载)。

    非自签名通配符证书是否需要 SSLCACertificateFile?

    不,因为在这种情况下没有证书链,见上文。

    • 2

  2. 根据您的证书中的详细信息和中间件,您的老经理确实为一年前的 RapidSSL 通配符证书支付了任何费用,这似乎很清楚。他必须生成的可能是提交给 RapidSSL 的证书请求。

    • 1

相关问题