再记录两则关于证书和CA的问题。
1. nginx中配置证书路径。自签名证书有个问题就是根证书本来没有在客户端中存储,所以需要在http服务器中配置证书路径(certificate chain)一次将证书和根证书发送给客户端。在Apache服务器中有专门的CA证书配置语法,但nginx则需要一个证书本身包含路径中的所有证书,生成命令为
cat servercert.pem > chaincert.pem cat rootcert.pem >> chaincert.pem #如果有intermediate certificate,则包含在rootcert之前,如下 cat servercert.pem > chaincert.pem cat intercert.pem >> chaincert.pem cat rootcert.pem >> chaincert.pem
2. windows xp和server 2003不支持证书散列算法sha-2(包含sha-256、sha-512等),所以,为了最大的兼容性,尽量服务器证书和根证书签名散列算法都sha1,否则查看证书时会提示invalid signature.
没有评论:
发表评论