Comodo PositiveSSL對於個人使用來說是一個相當划算便宜的SSL憑證,透過cheapSSLSecurity購買五年只需要美金23.99。
當完成購買並且下載憑證相關檔案之後,Chrome可以正常的讀取到SSL憑證,但是Firefox卻會出現警告,畫面類似下圖。
錯誤碼是: sec_error_unknown_issuer
以往的作法是我們會上傳ca boundle檔,但是在apache 2.4使用這個設定時,會出現這個設定即將不再被支援的提示訊息。因此我們正確的作法是將Comodo所提供的三個crt檔合併,指令如下
cat mydomain.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > mydomain_ssl.crt
接下來到Web Server的SSL設定檔中修改下面兩行
SSLCertificateFile /etc/httpd/CA/mydomain_ssl.crt SSLCertificateKeyFile /etc/httpd/CA/mydomain.key
然後重新啟動Web Server,就可以解決連線不受信任的連線問題了
[ideabox]產生CSR和private key的指令,可以參考修復OpenSSL CVE-2014-0160資安漏洞後必做工作 第三項:更新網站SSL憑證所使用的Key和CSR[/ideabox]