在准备访问带有SHA1签名证书的SSL站点时,浏览器中将显示的警告即将出现,我希望获得所有已升级的证书。
我的一些基础设施运行在“传统”基于CentOS 5.X的服务器上。 而在这些服务器上,当我安装新的密钥和证书时,apache只是在启动时死掉。 在error_log中没有任何用处。
现在,DigiCert有一个兼容性页面说,对于Apache,需要以下几个版本。
httpd 2.0.63 + w / OpenSSL 0.9.8o +
在CentOS 5.X服务器上,完全更新的那些软件包我看到这个…
httpd.x86_64 2.2.3-91.el5.centos openssl.x86_64 0.9.8e-27.el5_10.4 所以,蝙蝠我认为0.9.8e可能是一个问题。 但是我做了一点小小的研究,看上游openssl项目0.9.8o中引入的SHA相关变化是否被RH所支持,并且在RHEL / CentOS后台运行时,看起来好像SHA256相关的变化是被提交的。
我查看了openssl的git仓库,发现0.9.8o中的SHA 2相关更改
Commit Hash: bc06baca76534abc2048a3ac4d109b144da4b706 Add SHA2 algorithms to SSL_library_init(). Although these aren't used directly by SSL/TLS SHA2 certificates are becoming more common and applications that only call SSL_library_init() and not OpenSSL_add_all_alrgorithms() will fail when verifying certificates.
在CentOS / RHEL openssl pacakge中,我在changelog中看到了这个…
rpm -q --changelog openssl * Wed Mar 09 2011 Tomas Mraz <[email protected]> 0.9.8e-18 - add SHA-2 hashes in SSL_library_init() (#676384)
所以,对我来说,似乎我应该有适当的httpd版本和openssl(带有backport的修复)来处理SHA-2签名的证书。
所以我的问题。 我错过了什么吗? 是否有一些其他的Apache错误configuration,可能会导致崩溃时启动此证书到位?
如果我必须下载更新版本的openssl 0.9.8X并且不能进入yum,我可以做到这一点,但如果可能的话,我想避免这种情况。
回答我自己的问题
是的,CentOS 5 DOES支持SHA256签名证书。 一个干净的虚拟机工作得很好,必须有一个Apache的configuration问题。
没有什么有用的error_log …
仔细看看你的ssl_error_log ,由于在error_log中有ssl的东西,所以没有任何关于apache暂停的有用信息。 默认情况下,Apache使用ssl_error_log …
我怀疑:)你会发现有一些问题的Apacheconfiguration。