что такое & ldquo; yourDomainName.ca-bundle & rdquo ;?
Для установки SSL-сертификата в Ubuntu мне нужно вставить следующие строки в блок virtualHost:
SSLEngine on
SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
SSLCACertificateFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle
, но я не понимаю, что делает четвертая строка?
1 ответ
С сертификатами вы имеете дело с тем, что вы можете назвать «цепочкой доверия». Это своего рода «Адам говорит, что на улице идет дождь. Я верю Адаму, потому что Боб сказал, что Адам заслуживает доверия. Я верю Бобу, потому что Кристина говорит, что Боб заслуживает доверия», и так далее, и тому подобное.
Сертификат используется, помимо прочего, как шифрование, как своего рода идентификационный значок: этот веб-сайт объявляется your-website.com, и на нем может быть показан сертификат, подтверждающий это. Но зачем доверять сертификату? Поскольку он был выпущен экземпляром, которому доверяют, так называемый центр сертификации (CA). Этим ЦС управляет компания, у которой вы приобрели сертификат. Но зачем доверять этому CA? Потому что он может показать сертификат, который заслуживает доверия. Этот второй сертификат выдается из «высшего» ЦС. Этот «вышестоящий» ЦС имеет сертификат, что он заслуживает доверия от еще одного ЦС и т. Д. Это продолжается до тех пор, пока вы не получите «корневой сертификат».
Эти корневые сертификаты поставляются с вашим веб-браузером, почтовым клиентом или другим клиентом, которому необходимо оценить сертификат. Если вашему браузеру предоставляется сертификат, он проверяет, соответствует ли он сайту, который его использует (имя домена и т. Д.), И доверяет ли он центру сертификации, выдавшему сертификат. ЦС является доверенным, если «более высокий» ЦС, который сертифицировал этот ЦС, является доверенным и т. Д. С помощью этого метода ваш браузер должен в один момент получить один из своих корневых сертификатов. Если это так, браузер принимает сертификат, с которого мы начали. Если он не может создать цепочку доверия обратно к корневому сертификату, он не принимает сертификат (или предупреждает вас об этом, в зависимости от ваших настроек).
Как видите, не каждый ЦС получает свое доверие непосредственно от корневого сертификата, может быть один или несколько промежуточных шагов. Эти «промежуточные сертификаты», так сказать, могут быть сохранены в файл, как ваш сертификат и соответствующий ключ. И директива Apache SSLCACertificateFile указывает, где искать этот файл. Вы должны получить эти «промежуточные сертификаты» вместе с вашим сертификатом, или они должны быть доступны в компании, у которой вы купили свой сертификат.