Protože certifikační autorita může vydávat více certifikátů ve formě stromové struktury, někdy jsou pro udržení „řetězce důvěry“ nezbytné zprostředkovatelské certifikáty CA vydané tzv. podřízenými certifikačními autoritami. Zajišťuje, že ověření identity pomocí certifikátu veřejného klíče může být provedeno a správně důvěryhodné, zejména při navazování zabezpečeného připojení prostřednictvím Transport Layer Security (TLS) a/nebo Secure Sockets Layer (SSL). V opačném případě můžete obdržet varování, že certifikát je podepsán „nedůvěryhodným úřadem“.
Certifikát kořenové CA se v podstatě používá k podepisování a vydávání certifikátu, který se zase používá k podepisování a vydávání digitálních certifikátů koncové entity nebo domény pro jednotlivce a společnosti. Každý digitální certifikát může mít nula nebo více řetězců certifikátů CA, které sahají zpět ke kořenovému certifikátu CA.
Pokud tedy vaše autorita pro podepisování certifikátů obsahuje zprostředkující certifikát CA nebo balíček (trust chain), musíte nainstalovat zprostředkující certifikáty CA, aby prohlížeče důvěřovaly vašemu certifikátu. Ve skutečnosti většina populárních CA používá přechodné certifikáty CA.
Jak získat zprostředkující certifikát CA
V závislosti na certifikační autoritě vám mohou některé certifikační autority poslat e-mailem soubor svazků certifikátů, který obsahuje zprostředkující certifikáty CA, nebo si můžete požadovaný certifikát zprostředkujícího CA stáhnout z úložiště certifikačních autorit. Některé z běžných úložišť stahování CA jsou:
Comodo:https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/1/which-is-root-which-is-intermediate
GlobalSign:https://support.globalsign.com/customer/portal/topics/538410-root-certificates/articles
Symantec Verisign:https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657
GoDaddy:https://certs.godaddy.com/repository
DigiCert:https://www.digicert.com/digicert-root-certificates.htm
StartCom StartSSL:https://www.startssl.com/certs/
TrustWave:https://ssl.trustwave.com/support/support-root-download.php
Jak nainstalovat zprostředkující certifikát CA (řetězový certifikát)
- Zkopírujte certifikát Intermediate CA ve formátu PEM (certifikát DER s kódováním base64 identifikovatelný s nesmysluplným textem uzavřeným mezi „—–BEGIN CERTIFICATE—–“ a „—–END CERTIFICATE—–“) na server a vložte jej do stejný adresář jako soubory certifikátu SSL a soukromého klíče. Například adresář /home/techjourney/ssl/cert.
- Najděte následující direktivy SSL v httpd.conf nebo ssl.conf nebo konfigurační soubor Apache, který deklaruje nastavení SSL. Všimněte si, že pokud používáte virtuálního hostitele založeného na názvu prostřednictvím direktivy NameVirtualHost, musíte najít odpovídající segment <:VirtualHost>, který definuje web vaší domény, a upravit zde direktivy SSL (díky za Server Name Indication (SNI), nyní můžete hostit několik zabezpečených webových stránek SSL na jedné IP adrese, protože SNI umožňuje klientovi uvést, ke kterému názvu hostitele se pokouší připojit na začátku procesu handshakingu).
V závislosti na verzích vašeho Apache nastavte hodnoty těchto direktiv SSL na absolutní cestu a název souboru různých certifikátů SSL. Pokud již máte nakonfigurováno SSL, musíte se starat pouze o SSLCertificateChainFile nebo SSLCACertificatePath k instalaci přechodných certifikátů CA.
Ve verzi Apache 2.4.7 nebo starší (<=2.4.7):
SSLCertificateFile Cesta k certifikátu SSL, např. /home/techjourney/ssl.cert SSLCertificateKeyFile Cesta k souboru soukromého klíče, např. /home/techjourney/ssl.key SSLCertificateChainFile Cesta ke zprostředkujícímu certifikátu nebo balíčku CA, např. /home/techjourney/ca.bundle.pem Ve verzi Apache 2.4.8 nebo novější (>=2.4.8):
PoznámkaSSLCertificateChainFile je zastaralý od Apache 2.4.8. V Apache 2.4.8 byl SSLCertificateFile rozšířen tak, aby také načítal zprostředkující certifikáty CA ze souboru certifikátu serveru. Znamená to, že pokud vám podepisující certifikační úřad poskytne certifikát koncové entity nebo domény, který také zahrnuje zprostředkující certifikáty CA, můžete vynechat cestu SSLCACertificatePath.SSLCertificateFile Cesta k certifikátu SSL, např. /home/techjourney/ssl.cert SSLCertificateKeyFile Cesta k souboru soukromého klíče, např. /home/techjourney/ssl.key SSLCACertificatePath Cesta ke zprostředkujícímu certifikátu nebo balíčku CA, např. /home/techjourney/ca.bundle.pem - Uložte konfigurační soubor Apache.
- Restartujte Apache:
service httpd restart
Nebo,
service apache2 restart
Nebo,
systemctl httpd restart
Nebo,
systemctl apache2 restart
- Virtualmin:Vyberte virtuální server (webovou stránku nebo doménu), pokud musíte nainstalovat zprostředkující certifikáty CA. Poté přejděte na Konfigurace serveru -> Spravovat certifikát SSL -> Certifikát CA . Vyberte jeden ze způsobů, jak poskytnout certifikáty CA, tj. v souboru na serveru pokud jste již nahráli certifikáty CA do hostitele, nahraný soubor nebo vložený text certifikátu . Klikněte na Uložit certifikát po dokončení a certifikáty CA budou načteny prostřednictvím direktivy SSLCACertificatePath.
Direktivy virtuálního serveru můžete upravit také ručně v části Služby -> Konfigurovat web pro SSL -> Upravit směrnice , užitečné, pokud upřednostňujete direktivu SSLCertificateChainFile k poskytování přechodných certifikátů CA.
- cPanel WHM:Přejděte na Seznam účtů v levé nabídce a klikněte na symbol cPanel vedle hostitele, do kterého chcete nainstalovat přechodné certifikáty CA.
Na cPanel vyberte SSL/TLS Manager v části „Zabezpečení“. Poté klikněte na Spravovat weby SSL v části „Aktivace SSL na vašem webu (HTTPS) “. Z rozevíracího seznamu vyberte příslušný název domény. Poté vložte certifikát do Certificate:(CRT) do textového pole vložte dešifrovaný soukromý klíč do Klíč:(KEY) textového pole a vložte obsah certifikátů CA do balíčku certifikačních autorit:(CABUNDLE) Textové pole. Klikněte na Instalovat certifikát až bude hotovo.