如果我简单地使用“SSLCertificateFile”和“SSLCertificateKeyFile”两次,证书链就会被打破。
我可以使用从不同的中间CA证书颁发的RSA和ECC证书吗?
==================
更新:OpenSSL 1.0.2解决问题。 只需使用“SSLCertificateFile”和“SSLCertificateKeyFile”两次。 请注意,“SSLCertificateFile”应该是证书的整个链。
这可能取决于Apache版本和OpenSSL版本。
在Apache上使用不同的中间证书并行运行ECC和RSA证书需要Apache 2.4.8+和OpenSSL 1.0.2+。
sslcertificatefile条目添加了对Apache 2.4.8的中间体的支持。 从版本1.0.2开始,OpenSSL增加了以每个证书为基础加载中间体的能力。
这些文件还可能包含从叶子到根目录的中间CA证书。 这在版本2.4.8和更高版本中得到支持,并且废弃了SSLCertificateChainFile。 在使用OpenSSL 1.0.2或更高版本运行时,这允许以每个证书为基础configuration中间CA链。
资料来源: http : //httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcertificatefile
虽然较早版本的Apache支持多个sslcertificatefile条目,但不会从这些条目加载中间体,并且SSLCertificateChainFile只能使用一次。 因此,在早期版本中,您仍然可以并行运行ECC / RSA / DSA证书,但是它们都必须使用相同的中间件。
但要小心:只有在使用单个基于RSA或DSA的服务器证书时才提供证书链。 如果您使用的是耦合的RSA + DSA证书对,则仅当实际上两个证书使用相同的证书链时才能使用。 否则浏览器会在这种情况下感到困惑。
资料来源: http : //httpd.apache.org/docs/2.4/mod/mod_ssl.html#SSLCertificateChainFile