Certifikáty CA dostanete od SSLmarketu komfortně

20. 8. 2015 | Jindřich Zechmeister

V souvislosti se změnou požadavku na SSLCertificateChainFile u Apache jsme drobně změnili i způsob zasílání vystavených SSL certifikátů zákazníkům. Pojďme si kromě této novinky připomenout, jak to u SSLmarketu se zasíláním certifikátů funguje.

Certifikáty CA nemusíte hledat

Na úvod považuji za nutné zmínit důležitou informaci - v každém e-mailu s vystaveným SSL certifikátem zasíláme správné certifikáty CA, takže je nemusíte nikde hledat. U každého zasílaného certifikátu před odesláním zákazníkovi načteme intermediate přes API certifikační autority. Tak je zaručena jejich správnost a aktuálnost. Nemusíte se obávat, že jsou "natvrdo" uloženy v databázi.

Nový SSL certifikát zaslaný SSLmarketem

SSL certifikáty si můžete v zákaznickém účtu zdarma přegenerovat s SHA-1 nebo s SHA-2. Nově můžete využít i kompletní SHA-2 chain včetně Root certifikátu CA. Při každém takovém "reissue" certifikátu se mění jeho vystavitel a chain; to vás nemusí trápit, protože vždy dostanete ty správné certifikáty CA!

U Apache 2.4 je váš certifikát a certifikát CA v jednom souboru

V samostatném článku Apache a direktiva SSLCertificateChainFile jsme vysvětlili, k jaké změně dochází u Apache a co znamená konec podpory direktivy SSLCertificateChainFile. Protože jde ze strany Apache o zjednodušení (certifikát a intermediate jsou v jednom souboru), upravili jsme v tomto smyslu zasílání vystavených certifikátů.

Dříve jste obdrželi certifikát v textové podobě (myšleno PEM v Base64) a intermediate certifikáty v PEM (například pro Linux) a PKCS#7 pro Windows. Protože však Apache už nevyžaduje samostatnou "instalaci" intermediate certifikátů (tedy direktivu a soubor s CA certifikátem), posíláme vystavený certifikát spolu s intermediatem dohromady. Tím vám ušetříme práci při nasazení certifikátu na Apache - stačí použít náš soubor linux_cert+ca.pem. V něm je váš nový certifikát a intermediate tak, jak to chce Apache; víc není potřeba nastavovat.

Certifikáty CA pro Windows (Server) jsou v binární podobě zasílány v souboru P7B. Přípona indikuje formát standardu PKCS#7, který si můžete představit jako obálku, ve které jsou oba certifikáty CA. Použijete ho při importu intermediate certifikátů na Windows Server.

Pro starší verze je to také zjednodušení

Možná stále používáte starší verzi serveru, například Apache 2.2 v Debianu 6 nebo 7. Pokud jste zatím svůj server nepovýšili na Debian 8 a Apache 2.4, musíte na serveru používat direktivu pro soubor s certifikátem (SSLCertificateFile) i pro soubor s certifikátem CA (SSLCertificateChainFile).

Náš soubor linux_cert+ca.pem však můžete použít v obou direktivách a ušetřit si čas při instalaci. Odkazujte v obou direktivách na stejný soubor linux_cert+ca.pem a Apache bude správně fungovat.

Při testování jsme též dospěli k tomu, že u Apache 2.2 můžete do SSLCertificateFile a SSLCertificateChainFile (i SSLCACertificateFile) vložit stejný soubor s oběma certifikáty (náš linux_cert+ca.pem). Ve všech verzích Apache může být intermediate nastaven v direktivě SSLCACertificateFile; ta je sice určena pro CA klientských certifikátů, ale funguje to správně.

Doufáme, že i tato drobná změna přispěje k vyššímu uživatelskému komfortu při používání SSL certifikátů od nás.

P.S. Nepřehlédněte též novinku o autorenew certifikátů!


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz