什么是“你的域名”？

Question

为了在ubuntu上安装ssl证书，我必须在virtualHost块上插入以下行：

SSLEngine on
SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
SSLCACertificateFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle

但我不明白第四行是干什么的？

Answer 1

有了证书，您将处理您所称的“信任链”。就像是“亚当说外面在下雨。我相信亚当，因为鲍勃说亚当值得信任。我相信鲍勃，因为克里斯汀说鲍勃值得信任”等等。

除了加密之外，还使用了一个证书作为一种ID徽章:这个网站宣称是您的-website.com，它可以显示证书来证明它。但是为什么要信任证书呢？因为它是由受信任自身的实例发出的，所以称为证书颁发机构(CA)。此CA由您购买证书的公司经营。但是为什么要相信这个CA呢？因为它可以显示可信任的证书。第二个证书是由“上级”CA颁发的。这个“更高的”CA有一个证书，它可以从另一个CA中获得信任，依此类推。这种情况一直持续到您到达“根证书”为止。

这些根证书与您的web浏览器、邮件客户端或其他需要评估证书的客户端一起传递。如果您的浏览器收到证书，它将检查它是否与使用该证书的站点(域名等)相匹配，以及是否信任颁发证书的CA。如果认证此CA的“上级”CA是可信的，则CA是可信的，依此类推。通过这种方法，您的浏览器应该到达它的根证书之一。如果是这样，浏览器将接受我们开始使用的证书。如果它不能将信任链构建回根证书，它就不会接受证书(或者根据设置警告您)。

正如您所看到的，并不是每个CA都直接从根证书获得信任，可以有一个或多个中间步骤。可以这样说，这些“中间证书”可以存储到一个文件中，比如您的证书和相应的密钥。Apache指令SSLCACertificateFile指示在哪里查找该文件。您应该将这些“中间证书”连同您的证书一起收到，或者从您购买证书的公司获得这些证书。