从 OpenSSL 切换到 GNUTLS,关于证书路径的疑问。

2016-07-18 14:03:48 +08:00
 talas
OpenSSL 模式下各个证书路径,运行正常:

SSLEngine on
SSLCertificateFile "/usr/local/httpd/ssl/server.crt"
SSLCertificateKeyFile "/usr/local/httpd/ssl/server.key"
SSLCACertificateFile "/usr/local/httpd/ssl/server.ca.crt"

GnuTLS 模式下证书路径,搜索半天,不知怎么设置 server.ca.crt ,如果不设置,会报错“ SEC_ERROR_BAD_SIGNATURE ”

GnuTLSEnable on
GnuTLSPriorities NORMAL
GnuTLSCertificateFile /usr/local/httpd/ssl/server.crt
GnuTLSKeyFile /usr/local/httpd/ssl/server.key

多谢!
3114 次点击
所在节点    SSL
4 条回复
talas
2016-07-18 14:08:26 +08:00
解决了,证书路径我没对应好。

只是仍然不明白, server.ca.crt 这个证书在 GnuTLS 模式下是不必要的么?
talas
2016-07-18 14:12:16 +08:00
还有疑问: OpenSSL 的配置有很多行,而 GNUTLS 只有几行就实现了,这个有什么影响么?
talas
2016-07-18 23:17:34 +08:00
可能是我没有将 Let ’ s Encrypt 的中间证书追加到生成的域名证书的末尾导致的。

这样第一个问题就解决了。一会验证一下。
talas
2016-07-19 00:23:21 +08:00
验证了,追加中间证书后生成 chained.pem 替换 signed.crt ,重启 httpd 。

再测试,也不会报错“ ERROR: cannot verify aray.org's certificate, issued by ‘/C=US/O=Let's encrypt/CN=Let's Encrypt Authority X3 ’: Unable to locally verify the issuer's authority.”

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/293192

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX