在apache2 ubuntu服务器上安装geotrust quickssl

Question

我通常外包安装ssl证书。然而，我想学习这个过程。因此，我将ssh‘入我的服务器并运行以下代码

openssl req -newkey rsa:2048 -nodes -keyout mydomain.com.key -out mydomain.com.csr

然后，我回答了所有需要的问题，这就生成了密钥和CSR文件。然后我运行这个命令，以便复制csr的内容。

cat example.com.csr

然后，我将其粘贴到ssl分销商订单中，其中它要求我粘贴csr内容。

然后我验证我的域名，并得到一个压缩文件。这里是我寻找指导的地方，因为我无法找到与我收到的文件相匹配的教程。在将csr粘贴到证书转售商时，我选择SHA-2。

因此，我收到了一个压缩文件，包含4个文件，一个名为CACertificate-1，然后一个名为CACerate-2，这两个文件都是.cer文件而不是.crt文件扩展名，还有一个名为ServerCertificate的文件，以及一个名为IconScript的文件，该文件似乎是一个调用外部javascript的html/javascript文件。

现在我的问题是，我看到了一些教程，在我的apache2虚拟主机文件中，我将添加以下内容

SSLEngine on
SSLCertificateFile /var/www/myexample.com.crt
SSLCertificateKeyFile /var/www/myexample.com.key

但是我没有.crt文件，我有3个.cer文件？我是否在虚拟主机文件中引用了这三个文件，如果是的话，如何引用？不，我把它们合并到一个文件中，然后用.crt扩展而不是.cer扩展重命名？

最后，我在虚拟主机中引用的.key文件是我在创建CSR时创建的关键文件，对吗？

谢谢你的指导。

Answer 1

您不需要(也可能不需要)的javascript，但是您确实需要签名的证书以及CA提供的任何中间证书。

TLS客户端只需要知道根证书，但是CA通常在根和证书之间的链中至少有一个中间证书，因此您希望确保服务器提供整个链的其余部分，而不仅仅是您自己的证书。

您可以将这些证书(.crt或.cer交替使用，重要的是证书是PEM格式)合并到一个文件中，这是通过简单地连接文件(从叶到根排序)来完成的。详情请参见SSLCertificateFile文档。

作为一个侧面，您还可能希望查看Mozilla的服务器端TLS建议 (包括它们的配置生成器)的一组正常的TLS设置。