認証局はツリー構造の形式で複数の証明書を発行できるため、「信頼の鎖」を維持するには、いわゆる従属認証局によって発行される中間CA証明書が不可欠な場合があります。これにより、特にトランスポート層セキュリティ(TLS)やセキュアソケットレイヤー(SSL)を介して安全な接続を確立する場合に、公開鍵証明書によるID検証を実行して適切に信頼できるようになります。そうしないと、証明書が「信頼できない機関」によって署名されているという警告が表示される場合があります。
基本的に、ルートCA証明書は、証明書に署名して発行するために使用され、証明書は、個人および企業のエンドエンティティまたはドメインのデジタル証明書に署名して発行するために使用されます。各デジタル証明書には、ルートCA証明書に戻るCA証明書のチェーンを0個以上含めることができます。
したがって、証明書署名機関に中間CA証明書またはバンドル(信頼チェーン)が含まれている場合、ブラウザーが証明書を信頼できるようにするには、中間CA証明書をインストールする必要があります。実際、最も人気のあるCAは中間CA証明書を使用しています。
中間CA証明書を取得する方法
認証局によっては、一部のCAから、中間CA証明書を含む証明書バンドルファイルが電子メールで送信される場合があります。または、CAのリポジトリから必要な中間CA証明書をダウンロードできます。一般的なCAのダウンロードリポジトリには次のものがあります。
Comodo:https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/1/which-is-root-which-is-intermediate
GlobalSign:https://support.globalsign.com/customer/portal/topics/538410-root-certificates/articles
Symantec Verisign:https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657
GoDaddy:https://certs.godaddy.com/repository
DigiCert:https://www.digicert.com/digicert-root-certificates.htm
StartCom StartSSL:https://www.startssl.com/certs/
TrustWave:https://ssl.trustwave.com/support/support-root-download.php
中間CA証明書(チェーン証明書)のインストール方法
- 中間CA証明書をPEM形式(「-BEGINCERTIFICATE-」と「-ENDCERTIFICATE-」で囲まれた意味のないテキストで識別できるbase64でエンコードされたDER証明書)でサーバーにコピーし、 SSL証明書および秘密鍵ファイルと同じディレクトリ。たとえば、/ home / techjourney / ssl/certディレクトリ。
- httpd.confで次のSSLディレクティブを見つけます またはssl.conf またはSSL設定を宣言するApache構成ファイル。 NameVirtualHostディレクティブを介して名前ベースの仮想ホストを使用している場合は、ドメインWebサイトを定義する対応する&lt:VirtualHost>セグメントを見つけて、そこでSSLディレクティブを変更する必要があることに注意してください(Server Name Indication(SNI)に感謝します。 SNIを使用すると、クライアントはハンドシェイクプロセスの開始時に接続しようとしているホスト名を指定できるため、単一のIPアドレスで複数のSSLセキュアWebサイトをホストします。
Apacheのバージョンに応じて、これらのSSLディレクティブの値をさまざまなSSL証明書の絶対パスとファイル名に設定します。すでにSSLを構成している場合は、 SSLCertificateChainFileについてのみ考慮する必要があります。 またはSSLCACertificatePath 中間CA証明書をインストールします。
Apacheバージョン2.4.7以前(<=2.4.7)の場合:
SSLCertificateFile SSL証明書へのパス(例: /home/techjourney/ssl.cert SSLCertificateKeyFile 秘密鍵ファイルへのパス(例: /home/techjourney/ssl.key SSLCertificateChainFile 中間CA証明書またはバンドルへのパス(例: /home/techjourney/ca.bundle.pem Apacheバージョン2.4.8以降(> =2.4.8)の場合:
NoteSSLCertificateChainFileは、Apache2.4.8以降で非推奨になりました。 Apache 2.4.8では、SSLCertificateFileが拡張され、サーバー証明書ファイルから中間CA証明書もロードされるようになりました。これは、署名認証局が中間CA証明書も含むエンドエンティティまたはドメイン証明書を提供する場合、SSLCACertificatePathを省略できることを意味します。SSLCertificateFile SSL証明書へのパス(例: /home/techjourney/ssl.cert SSLCertificateKeyFile 秘密鍵ファイルへのパス(例: /home/techjourney/ssl.key SSLCACertificatePath 中間CA証明書またはバンドルへのパス(例: /home/techjourney/ca.bundle.pem - Apache構成ファイルを保存します。
- Apacheを再起動します:
service httpd restart
または、
service apache2 restart
または、
systemctl httpd restart
または、
systemctl apache2 restart
- Virtualmin:中間CA証明書をインストールする必要がある場合は、仮想サーバー(Webサイトまたはドメイン)を選択します。次に、サーバー構成に移動します ->SSL証明書の管理 ->CA証明書 。 CAの証明書を提供する方法の1つを選択します。つまり、サーバー上のファイルで すでにCAの証明書をホストにアップロードしている場合は、アップロードされたファイル または貼り付けられた証明書テキスト 。 証明書の保存をクリックします 完了すると、CAの証明書はSSLCACertificatePathディレクティブを介してロードされます。
サービスに移動する仮想サーバーのディレクティブを手動で編集することもできます ->SSL用にWebサイトを構成する ->ディレクティブの編集 、SSLCertificateChainFileディレクティブを使用して中間CA証明書を提供する場合に便利です。
- cPanel WHM:アカウントの一覧表示に移動します 左側のメニューで、中間CA証明書をインストールするホストの横にあるcPanelシンボルをクリックします。
cPanelで、 SSL/TLSマネージャーを選択します 「セキュリティ」の下。次に、SSLサイトの管理をクリックします [Webサイト(HTTPS)でSSLをアクティブ化する]の下 「。ドロップダウンボックスから適切なドメイン名を選択します。次に、証明書を証明書:(CRT)に貼り付けます テキストボックスで、復号化された秘密鍵を鍵:(KEY)に貼り付けます テキストボックスを開き、CA証明書の内容を認証局バンドル:(CABUNDLE)に貼り付けます。 テキストボックス。 証明書のインストールを押します 完了したら。