沙-2签名的SSL证书在CentOS 5.X上启动时使apache崩溃

Question

在准备使用SHA1签名证书访问SSL站点时将开始在浏览器中显示的警告时，我希望获得我升级过的所有证书。

我的一些基础设施运行在基于“遗留”CentOS 5.X的服务器上。在这些服务器上，当我安装新的密钥和证书时，apache在启动时就会死掉。在error_log中没有任何有用的东西。

现在，DigiCert有了一个兼容性页面，说明对于apache来说，需要下面的版本。

httpd 2.0.63+ w/ OpenSSL 0.9.8o+

在CentOS 5.X服务器上，随着这些包的更新，我看到.

httpd.x86_64  2.2.3-91.el5.centos
openssl.x86_64 0.9.8e-27.el5_10.4

所以我一开始就认为0.9.8e可能是个问题。但是，我做了一些调查，看看在上游openssl项目的0.9.8o中引入的与SHA256相关的更改是否由RH支持，而且看起来似乎在RHEL/CentOS的其中一个后端中提交了与RHEL/CentOS相关的更改。

我查看了openssl的git，发现了0.9.8o中与SHA 2相关的变化

Commit Hash: bc06baca76534abc2048a3ac4d109b144da4b706
Add SHA2 algorithms to SSL_library_init(). Although these aren't used
directly by SSL/TLS SHA2 certificates are becoming more common and
applications that only call SSL_library_init() and not
OpenSSL_add_all_alrgorithms() will fail when verifying certificates.

在CentOS/RHEL openssl pacakge中，我在changelog中看到了这个.

rpm -q --changelog openssl 
* Wed Mar 09 2011 Tomas Mraz <t----z@redhat.com> 0.9.8e-18
- add SHA-2 hashes in SSL_library_init() (#676384)

因此，在我看来，似乎应该有正确版本的httpd和openssl (带有后端修复)来处理SHA-2签名证书。

所以我的问题。我是不是遗漏了什么？在使用此证书启动时，是否还有其他apache错误配置可能导致崩溃？

如果我必须下载一个更新版本的OpenSSL0.9.8X并走出yum，我可以这样做，但如果可能的话，我希望避免这样做。

Answer 1

回答我自己的问题。

是的，CentOS 5确实支持SHA256签名证书。一个干净的VM工作得很好，一定有一个apache配置问题。

Error_log里没有什么有用的东西.

仔细看看您的ssl_error_log，由于error_log中包含ssl，对于apache没有任何有用的东西。默认情况下apache使用ssl_error_log..。

)您会发现apache配置存在一些问题。