Apache und SSLCertificateChainFile

10.06.2016 | Petra Alm

Der heutige Artikel ist den Benutzern des Webservers Apache gewidmet. Seit der Version 2.4 unterstützt der beliebte Server die Direktive SSLCertificateChainFile nicht mehr. Diese Veränderung ist jedoch von Vorteil, denn sie erleichtert den Administratoren ihre Arbeit mit der Installation des Zertifikats.

Ende der Direktive SSLCertificateChainFile

Apache in der Version 2.4 (die zum Beispiel einen Teil des beliebten Debian 8 darstellt) beendet die Unterstützung der Direktive SSLCertificateChainFile. Diese Veränderung haben Sie vielleicht während der Aktualisierung der Apache-Version bemerkt, bei der der Server mit der ursprünglichen Konfiguration die folgende Warnung anzeigt:

AH02559: The SSLCertificateChainFile directive is deprecated, SSLCertificateFile should be used instead

Es bedeutet, dass das Intermediate-Zertifikat nicht mehr anhand einer selbständigen Direktive verwiesen wird. Neu ist das Intermediate in der Direktive SSLCertificateFile zu finden und somit ein Teil der Datei mit dem SSL-Zertifikat geworden.

Das bestehende Intermediate-Zertifikat brauchen Sie nur hinter das SSL-Zertifikat einzufügen (in eine Datei) und alles wird in Ordnung sein.

Intermediate bei älteren Versionen

Vor der Veränderung der Einstellung empfehlen wir Ihnen zu überprüfen, ob die Neuheit auch Ihren Server betrifft.  Ihre Apache-Version stellen Sie anhand der folgenden Befehlszeile fest:

dpkg -s apache2 | grep Version

In Debian 8 Jessie ist die Apache-Version 2.4.10.

Bei der Version 2.4 brauchen Sie nur die Datei mit dem Zertifikat einzustellen und SSLCertificateChainFile können Sie vergessen. Bei älteren Versionen muss das Intermediate-Zertifikat  (CA-Zertifikat) definiert werden.

Übersicht der Apache-Versionen in Debian und der Einstellungen des Intermediate-Zertifikats

Die Unterstützung von SSLCertificateFile sieht folgendermaßen aus:

Debian 8 und Apache 2.4.10 – unterstützt, die Direktive SSLCertificateChainFile für das CA-Zertifikat ist nicht erforderlich. Es funktionieren beide Methoden, sowohl die Ergänzung des Intermediates zu dem Zertifikat in SSLCertificateFile als auch die Verwendung von SSLCertificateChainFile.

Debian 7 und httpd 2.2.22 – erfordert ein selbständiges Zertifikat in SSLCertificateChainFile, aber die Datei mit dem Zertifikat kann auch das Intermediate enthalten.

Debian 6 und httpd 2.2.16 - erfordert ein selbständiges Zertifikat in SSLCertificateChainFile, aber die Datei mit dem Zertifikat kann auch das Intermediate enthalten.

Bei Apache 2.2 können Sie in SSLCertificateFile und SSLCertificateChainFile (auch SSLCACertificateFile) dieselbe Datei mit beiden Zertifikaten einfügen.

In allen Apache-Versionen kann das Intermediate in der Direktive SSLCACertificateFile eingestellt werden, auch wenn Sie für CA der Klient-Zertifikate vorbestimmt ist.