多个 SSL 证书包？

Question

我的公司希望为我们的网站使用两种不同类型的 SSL 证书：一种使用 RSA，另一种使用 ECDSA。原因是使用我们网站的外部服务使用的是非常旧的代码，因此我们需要两者兼而有之。

编辑：我们使用的是 Apache 2.4，两个证书都来自同一个机构。因此，下面的 Root CA 是相同的，但由于 RSA/ECDSA 的不同，中间体是不同的。

我们的 Apache 配置如下：

### RSA cert
SSLCertificateFile          /etc/ssl/certs/website_com_rsa.crt
SSLCertificateKeyFile       /etc/ssl/private/website_com_rsa.key

### ECDSA cert for compatibility
SSLCertificateFile          /etc/ssl/certs/website_com_ecdsa.crt
SSLCertificateKeyFile       /etc/ssl/private/website_com_ecdsa.key

### RSA/ECDSA cert bundle
SSLCertificateChainFile /etc/ssl/certs/website_com.ca-bundle

我不确定的部分是 CA 捆绑包。我的问题是：

1. 我可以使用两个不同的 SSLCertificateChainFile 指令，每种类型（RSA 和 ECDSA）一个吗？
2. 如果我不能，那么如何将来自两个不同证书包的 CA 包合并到一个文件中？假设我有两个 CA 捆绑文件，其顺序如下：

RSA 捆绑包

-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<root-ca>
...
-----END CERTIFICATE-----

ECDSA 捆绑包

-----BEGIN CERTIFICATE-----
...
<ecdsa-intermediate-1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<ecdsa-intermediate-2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<root-ca>
...
-----END CERTIFICATE-----

它们应该按什么顺序组合？

Answer 1

从Apache 2.4 docs for SSLCertificateChainFile 看来，您将在配置有SSLCertificateFile 的文件中提供单独的链，即将服务器证书与其相应的证书链组合在同一个文件中。

例如，您的/etc/ssl/certs/website_com_rsa.crt 可能包含多个证书，从服务器证书到根：

-----BEGIN CERTIFICATE-----
...
<website-com-rsa>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<rsa-intermediate-2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<root-ca>
...
-----END CERTIFICATE-----

对于您的/etc/ssl/certs/website_com_ecdsa.crt 文件也是如此。这意味着不使用SSLCertificateChainFile。

希望这会有所帮助！