以 TWCA 為例來作為說明,送出憑證申請檔 CSR 後你會得到 根憑證主機憑證「root.cer」、網域憑證「server.cer」、中繼憑證1「uca_1.cer」、中繼憑證1「uca_2.cer」
********************************************
Apache 安裝 SSL 憑證
在 /etc/httpd/conf/httpd.conf 裡要設定
Include conf.d/*.conf
這樣 httpd 才會去讀取 conf.d 裡所有的 conf 檔
在 /etc/httpd/conf.d 目錄下,建立一個 ssl.conf 預設應該會有,然後修改底下幾個項目
# 指定 x509 憑證的副檔名 crt
AddType application/x-x509-ca-cert .crt
# 指向你剛剛用 openssl 所產出來主機金鑰 KEY
SSLCertificateKeyFile /etc/ssl/private/server.key
# 指向剛剛從憑證中心取得的 網域憑證,網域憑證只需要複製到你指定的路徑即可。
SSLCertificateFile /etc/ssl/certs/server.crt
# 憑證鍊
SSLCertificateChainFile /etc/ssl/certs/uca.crt
憑證鍊就比較麻煩,因為中繼憑證可能為一層,也可能為兩層,如果從 TWCA 拿到的是兩層的中繼憑證,你可以把 uca_1.cer 跟 uca_2.cer 作合併存為 uca.crt ,uca_2.cer 在上面。
cp uca_2.cer uca.crt cat uca_1.cer >> uca.crt
接著把 apache httpd 的服務重啟 sudo /etc/init.d/httpd restart 就可以啟用新的憑證了。