Apache a direktiva SSLCertificateChainFile

5. 8. 2015 | Jindřich Zechmeister

Dnešní článek je věnován uživatelům webového serveru Apache. Od verze 2.4 Apache ukončuje podporu direktivy SSLCertificateChainFile, což administrátorům v důsledku výrazně zjednodušuje instalaci certifikátu.

Symbol serveru Apache

Direktiva SSLCertificateChainFile končí

Apache ve verzi 2.4 (která je například součástí oblíbeného Debianu 8 Jessie) ukončuje podporu direktivy SSLCertificateChainFile. Mohli jste si toho všimnout při povýšení verze Apache, kdy server (s původní konfigurací) ukazuje toto varování:

AH02559: The SSLCertificateChainFile directive  is deprecated, SSLCertificateFile should be used instead

Znamená to, že intermediate certifikát se už v Apachi nebude odkazovat samostatnou direktivou, ale má být v direktivě SSLCertificateFile a tedy součástí souboru se SSL certifikátem.

Stačí stávající intermediate certifikát vložit za SSL certifikát (do jednoho souboru) a vše bude v pořádku.

Jak intermediate používat u starších verzí?

Před změnou nastavení doporučuji ověřit, zdali se změna týká i vašeho serveru. Verzi svého Apache na serveru zjistíte příkazem dpkg -s apache2 | grep Version V Debianu 8 Jessie je Apache ve verzi 2.4.10.

U verze 2.4 můžete nastavovat pouze soubor s certifikátem a na SSLCertificateChainFile zapomenout. U starších verzí je potřeba intermediate certifikát (CA certifikát) definovat.

Přehled verzí Apache v Debianu a nastavení intermediate certifikátu

Podpora SSLCertificateFile je v jednotlivých verzích následující:

Debian 8 a Apache 2.4.10 -  podporuje, netřeba zvláštní direktivy SSLCertificateChainFile pro certifikát CA. Fungují oba způsoby - přidání intermediatu k certifikátu v SSLCertificateFile, nebo použití SSLCertificateChainFile.

Debian 7 a httpd 2.2.22 - vyžaduje samostatný certifikát v SSLCertificateChainFile, ale soubor s certifikátem může obsahovat i intermediate.

Debian 6 a httpd 2.2.16 - vyžaduje samostatný certifikát v SSLCertificateChainFile, ale soubor s certifikátem může obsahovat i intermediate.

U Apache 2.2 můžete vložit do SSLCertificateFile a SSLCertificateChainFile (i SSLCACertificateFile) stejný soubor s oběma certifikáty.

Ve všech verzích Apache může být intermediate nastaven v direktivě SSLCACertificateFile; ta je sice určena pro CA klientských certifikátů, ale funguje to.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz