服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Apache服务的CA与本地的根CA – 哪些赢得?
Intereting Posts
我被黑了,现在我对一些事情有点困惑 OpenVPN客户端configuration文件中的评论? 超时过期:连接池 什么是您的最大电子邮件大小,以及您对较大的文件做什么? 无法在SharePoint 2007中设置包含AD组成员的受众群体 Dynamics NAV服务自动停止 Windows Server 2008 – 在下次启动时阻止错误恢复屏幕 Hyper-V虚拟机上的时间同步失败,但以域用户身份login时会成功 调查到/ proc / loadavg Apache 2.2.21从2.2.8升级,在生产系统上做到这一点的最好方法是什么? ClamAV和MalDet – 这些被隔离或感染? 在打印机对话框中禁用“服务器属性”选项 使用Nagios(或其他免费产品)来监视具有dynamicIP地址的50多台远程机器的正常运行时间 在2003 R2 X64 SP2中奇怪的失败审计 AWS EC2 SSL服务器证书与URL不匹配

Apache服务的CA与本地的根CA – 哪些赢得?

我目前有两台运行在这里和这里的 Apache服务器,都使用由StartSSL签名的SSL证书。 下面的Apache SSLconfiguration: 

## SSL directives SSLEngine on SSLCertificateFile "/etc/certificates/thor.vikingserv.net/certificate.crt" SSLCertificateKeyFile "/etc/certificates/thor.vikingserv.net/private.key" SSLCertificateChainFile "/etc/certificates/intermediate/startssl-class-1.crt"

服务器证书和中间证书都是SHA-256,但是我的Linux工作站上的CA证书是SHA-256,而我的MacBook上是SHA-1。

我可以在Apache中使用SSLCACertificatePath指令来强制执行SHA-256 CA证书,但这是否会覆盖与操作系统一起分发的根证书?

不,它不会,因为如果客户会信任随机提供给他们的根证书,那么信任存储的全部内容就会有点没有实际意义。

关于你的问题的两个笔记:

  1. 用于签署信任锚证书的algorithm是不相关的 – validation期间不使用签名本身。
  2. SSLCACertificatePath将无法帮助你,因为该指令只用于validation客户端证书,这不是你正在做的。