# rm-rf.es

sslcertificatechainfile es una directiva obsoleta de Apache

Una entrada rápida y meramente informativa. Personalmente no tenía constancia de que la directiva sslcertificatechainfile estuviera obsoleta en Apache Web Server desde la versión 2.4.8. Esto significa que la forma correcta de establecer la cadena de confianza de un certificado en la configuración de Apache ya no es con esta directiva.

sslcertificatechainfile era una directiva opcional que permitía establecer, en un único archivo, todas las CA (Certification Authorities) de la cadena de confianza de nuestro certificado. Se añadían en formato PEM y concatenadas, una tras otra, normalmente en el orden de la cadena de validación. Otra forma de hacerlo también era con cada certificado en un archivo, pero definiendo la ruta/path donde se encontraban con la directiva SSLCACertificatePath:

SSLCertificateChainFile "/etc/httpd/conf/ssl/ca.crt"
SSLCACertificatePath"/etc/httpd/conf/ssl"

A partir de esa versión, los certificados intermedios se pueden (o deben) cargar directamente en el mismo archivo en el que tenemos nuestro certificado SSL/TLS, es decir, en el fichero especificado en la directiva SSLCertificateFile:

SSLCertificateFile "/etc/httpd/conf/ssl/server.crt"

Ese archivo contiene tanto el PEM de nuestro certificado como el de los CA, uno detrás de otro:

-----BEGIN CERTIFICATE-----
MIICMzCCAZygAwIBAgIJALiPnVsvq8dsMA0GCSqGSIb3DQEBBQUAMFMxCzAJBgNV
BAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNVBAcTA2ZvbzEMMAoGA1UEChMDZm9v
iMlHGyUW8EJy0paVf09MPpceEcVwDBeX0+G4UQlO551GTFtOSRjcD8U+GkCzka9W
[...]
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE-----
MIICMzCCAZygAwIBAgIJALiPnVsvq8dsMA0GCSqGSIb3DQEBBQUAMFMxCzAJBgNV 
d68VW5wybLjYE2r6Q9nHpitSZ4ZderwjIZRes67HdxYFw8unm4Wo6kuGnb5jSSag
MQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2ZvbzAeFw0xMzAzMTkxNTQwMTlaFw0
[...]
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE-----
MIICMzCCAZygAwIBAgIJALiPnVsvq8dsMA0GCSqGSIb3DQEBBQUAMFMxCzAJBgNV
BAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNVBAcTA2ZvbzEMMAoGA1UEChMDZm9v
9LkgVwA8Ndi1wp1/sEPe+UlL16L6vO9jUHcueWN7+zSUOE/cDSJyMd9x/ZL8QASA
[...]
-----END CERTIFICATE----- 

Si trabajáis con Nginx, os habréis dado cuenta que esta es la forma de configurarlo también en ese servidor web.

Salir de la versión móvil