엄밀히 말하면 SSL이 작동하기 위해 체인이 필요하지 않습니다.

당신이 항상 필요한 것은 인 SSLCertificateFileA가와 SSLCertificateKeyFile해당 인증서에 대한 올바른 키를 포함.

문제는 아파치에게 인증서 만 제공한다면, 클라이언트에게 연결하는 데 필요한 모든 인증서는 SSL 인증서에 대한 전체 이야기를 알려주지 않는다는 것입니다. “누군가 서명했지만 그들에 대해 말하지 않겠다”고 말합니다.

대부분의 클라이언트 시스템에는 루트와 중간 인증서가 모두 포함되어있어 신뢰 관계를 설정하기 위해 일치하는 서명 관계를 확인할 수 있기 때문에 일반적으로 문제가 없습니다. 그러나 때때로 이것은 작동하지 않습니다. 가장 자주 발생하는 문제는 인증서에 서명 한 중간 CA의 인증서를 보유하지 않는 클라이언트입니다.

그것이 체인이 들어오는 곳입니다. 이를 통해 Apache는 클라이언트에게 신뢰 관계의 모양을 정확하게 보여 주므로 클라이언트가 인증서, 신뢰할 수있는 루트 및 알 수없는 중간 사이의 공백을 채울 수 있습니다. 체인은 다음 두 가지 방법 중 하나로 구성에 포함될 수 있습니다.

• SSLCertificateFile서버 인증서 다음에 새 줄에 순서대로 설정 한 것과 동일한 파일에 포함됩니다 (루트는 맨 아래에 있어야 함). 이와 같이 설정 SSLCertificateChainFile하면와 정확히 동일한 파일을 가리킬 수 SSLCertificateFile있습니다.
• SSLCertificateChainFile지시문에 구성된 별도의 파일에서 ; 서버의 인증서를 발행 한 CA 인증서는 파일에서 첫 번째 파일이어야하며 루트에있는 다른 인증서가 있어야합니다.

현재 가지고있는 인증서 파일을 확인하십시오. 체인 데이터가 포함되어 있지 않다고 확신합니다. 일반적으로 정상적으로 작동하지만 결국 일부 브라우저 또는 다른 문제가 발생합니다.

답변

gnutls-cli --x509cafile /etc/ssl/certs/ca-certificates.crt -p https wwwsec.cs.uu.nl