instalar configurar conf certificado archivo apache ssl ssl-certificate digital-certificate

apache - configurar - Diferencia entre SSLCACertificateFile y SSLCertificateChainFile



instalar certificado ssl wampserver (2)

En realidad, ambas pueden ser opciones válidas.

Use SSLCertificateChainFile para publicar su certificado firmado por la autoridad de certificación pública (VeriSign, RapidSSL, etc.)

Use SSLCACertificateFile para proporcionar su CA ''privada'', que puede emitir certificados de cliente, que puede distribuir a algunos usuarios seleccionados. Estos certificados de client son realmente geniales para la autenticación (en comparación con la autenticación de contraseña básica) y, por lo general, no es necesario que sean distribuidos por una CA pública (por lo tanto, puede ahorrar algo de dinero).

Por lo tanto, si desea agregar una autorización segura a alguna parte de su sitio web, haga esto:

<Directory /var/www/html/authorized> SSLVerifyClient require SSLVerifyDepth 5 SSLOptions +StrictRequire SSLUserName SSL_CLIENT_S_DN_CN SSLRequireSSL </Directory>

Solo para una breve explicación, SSLUserName SSL_CLIENT_S_DN_CN configurará el nombre de usuario autenticado como CommonName del certificado, frente al tema entero x509 ''/ OU = Foo / CN = ...''.

Proporciono páginas SSL en mi servidor web, y tengo una pregunta. ¿Cuál es la diferencia entre SSLCACertificateFile y SSLCertificateChainFile?

Cuando uso SSLCertificateChainFile, recibí advertencias del navegador japonés del teléfono celular, pero cuando uso el navegador de PC (como IE, FF), no hubo ningún problema. Por otro lado, SSLCACertificateFile no causó ningún problema para ambos navegadores.

¿Hay alguna diferencia cuando los navegadores se conectan a apache?


SSLCertificateChainFile era una opción correcta para elegir, pero esta directiva se volvió obsoleta a partir de Apache 2.4.8 . Esta directiva causó que el archivo listado fuera enviado junto con el certificado a cualquier cliente que se conectara.

SSLCACertificateFile (en adelante, "CACert") reemplaza SSLCertificateChainFile (en lo sucesivo, "Cadena") y, además, permite el uso del certificado en cuestión para firmar certificados de cliente . Este tipo de autenticación es bastante raro (al menos por el momento), y si no la está utilizando, no hay razón para aumentar su funcionalidad mediante el uso de CACert en lugar de Chain. En el otro lado, uno podría argumentar que no hay daño en la funcionalidad adicional, y CACert cubre todos los casos. Ambos argumentos son válidos.

Huelga decir que, si le pregunta al proveedor del certificado, siempre presionarán por CACert sobre la cadena, ya que les da otra cosa (certificados del cliente) que pueden potencialmente venderlo en el futuro. ;)