Apache と mod_ssl を構築すると、
/etc/conf.d/ssl.conf の中で、証明書置き場としてデフォルトで記述されているディレクトリに、
/etc/pki/tls/certs/ca-bundle.crt
ってファイルがあると思うが、邪魔じゃなー。消して良いのか?
↓
消してはならぬ
調べた。
CentOSのTLSのca-bundle.crtのパッケージの調べ方
薫のhack - FreeBSD や セキュリティ、プログラミングの記録
kaworu.jpn.org
ca-bundle.crtというファイルに用意されています。 ca-bundle.crt は、ルート証明書のリストです。世の中で使われている認証局が入っています。
うん、消しちゃだめだね。
ca-bundle.trust.crtっつー、似た名前のファイルもあるけど?
↓
ca-bundle.trust.crtとは、なんのファイル?
nginx — ca-bundle.crtとca-bundle.trust.crtの違い
CentOS 6.5の/etc/pki/tls/certsでは、次のようになっています。ca-bundle.crt そしてca-bundle.trust.crt さまざまなファイルサイズ。 nginx proxy_ssl_trusted_certificateの信頼パスとしてどちらを使用すればよ...
www.web-dev-qa-db-ja.com
ca-bundle.trust.crtは、「拡張検証」付きの証明書を保持しています。「通常の」証明書とEV付きの証明書の違いは、EV証明書には、個人または会社の検証のようなものが必要です。
翻訳が分かりづらいが、
要するにEV証明書用のリストですな。
これも消してはいかぬ。
しかしEV証明書なんて個人的にはあんま意味ないと思ってるんだが、EVが良いというお客さんはいるんじゃよな。
中途半端に安い会社を選んでサポートが微妙なところだと、申請までの書類の説明が半端だったり間違いが合ったりで時間を食って、自分(と自分のお客さん)が痛い目に見る。どことは言わないけど、経験がある。最近。
EVが良いというお客さんは金に糸目をつけないということであるじゃろうから、信頼性のあるところで、さくっと決めてしまおう。
あと、予め確実な期間を保持して、お客さんに伝えておくことね。
間に合わない可能性が少しでもあるなら、間に合うまではLet’s Encryptなどで代替するなどの案を最初から提案しておこう。これ大事。
コメント