Sempre più siti adottano certificati validati dalla PKI, grazie anche a fornitori molto convenienti.
Alcuni certificati acquistati necessitano di una serie di CA oppure di certificati intermedi affinché il client li possa verificare correttamente.
Esistono tool online come quello di SSL Hopper che permettono di verificare se il server dichiara correttamente la catena di certificati che validano quello che si sta utilizzando.
Può capitare che le istruzioni indicate dal fornitore del certificato siano incomplete oppure non si applichino ad alcuni software.
Di recente ho installato un certificato wildcard di Comodo su un Apache 2.4, Assieme al certificato sono stati forniti anche questi file CRT:
- Root CA Certificate – AddTrustExternalCARoot.crt
- Intermediate CA Certificate – COMODORSAAddTrustCA.crt
- Intermediate CA Certificate – COMODORSADomainValidationSecureServerCA.crt
Le istruzioni del fornitore applicate a questo caso con Apache 2.4 producevano un errore di verifica della catena di autenticazione del certificato.
La soluzione è stata quella di unire i tre file CRT in un unico file PEM. Siccome i file CRT e PEM sono file di testo e il file PEM non è altro che un insieme di CRT, basta incorporare il testo di ogni CRT in un unico PEM; con *NIX si può usare questo comando:
cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > cacert.pem
quindi utilizzare il file cacert.pem in questo modo
SSLCertificateChainFile /path/di/cacert.pem
Una volta ricaricato Apache, il certificato viene presentato al client con la giusta catena di validazione.
Lascia un commento