我正在尝试在Apache上安装Fedora上的SSL。
在我的虚拟主机中
SSLCertificateFile /your/path/to/crt.crt SSLCertificateKeyFile /your/path/to/key.key SSLCertificateChainFile /your/path/to/DigiCertCA.crt
我使用自签密钥工作正常,但无法使用DigiCertCA crt。
当我跑步
service httpd restart
它无法启动。 这是我在日志中得到的…
[Sat Jan 29 07:57:13 2011] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suex$ [Sat Jan 29 07:57:13 2011] [error] Failed to configure CA certificate chain!
任何援助将非常感激!
谢谢
确保链中没有丢失的证书,在SSLCertificateChainFile文件中应该先从CA开始,然后再到所有用于签署CRT的中间证书,否则会出现错误。
如果您没有任何中间证书(查看Digicert页面,看起来像没有http://www.digicert.com/ssl-certificate-installation-apache-ensim.htm ),您应该使用SSLCACertificateFile
对旧线程的更新…
当我创build一个CA链文件时,通过将中间和根.crt文件一起.ca-bundle到一个新的.ca-bundle文件中, 问题是第一个证书文件没有以换行符结束,所以它的“END”行和下一个的BEGIN行被连接在一起,就像
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
我刚刚编辑了文件,并把换行符,给:
-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----
然后它的工作。
那么这本来是@lynxman的评论,但是太长了。
我刚刚使用让我们encryptionArch Linux的问题。 在几个月的第一次重启后启动后, httpd服务失败,出现这个错误:
AH01903: Failed to configure CA certificate chain!
首先我尝试更新证书,因为它很容易和自由。 我的SSLCertificateChainFile然后有一个证书,而不是两个(?)。 所以我评论说:
#SSLCertificateChainFile "/etc/letsencrypt/live/mywebsite.com/chain.pem"
瞧! 它开始很好。 _(ツ)_ /¯
上面的修复可能是有用的,但对我来说修复是这样的:
如果链接如下:
这种情况下的格式是p7b(PCKS#7); 使用Apache的证书,你将不得不将这个转换。
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
在生成的.cer文件中,您将向您提供与相关CA证书捆绑在一起的x.509证书,将其分解到相关的.crt和ca.crt文件中,并正常加载到apache中。
我有类似的问题,当我复制digicert中级证书,同时保存证书我错误地input在证书文件中的一些字符,我不能重新启动Apache,但是当我删除的字符,并重新启动它的工作服务器。