Cuando adquirimos un certificado PositiveSSL y lo activamos empleando nuestro csr, recibimos de Comodo SSL un fichero .zip con los siguientes archivos:
- AddTrustExternalCARoot.crt
- COMODORSAAddTrustCA.crt
- COMODORSADomainValidationSecureServerCA.crt
- STAR_cect_org.crt
El certificado del sitio es STAR_cect_org.crt (en nuestro caso hemos elegido un certificado wildcard para todos los subdominios de cect.org). Sin embargo, para que los navegadores no se quejen del certificado, es necesario incluir los archivos correspondientes al certificado raiz y la entidad de certificación intermedia.
Ésto se puede realizar mediante distintas opciones en el archivo de configuración de apache. Sin embargo, para facilitarnos las cosas y que además el certificado nos sirva para un servidor nginx, lo que haremos será crear un ‘refrito’ de todos estos certificados e indicar al servidor que el resultante es el certificado del sitio y no el STAR_cect_org.crt original.
Para combinar los certificados debemos de emplear el comando cat. Es muy importante el orden en el que se encadenan estos certificados. El comando sería el siguiente:
cat STAR_cect_org.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-wildcard.cect.org-bundle.crt
El certificado del servidor sería entonces ssl-wildcard.cect.org-bundle.crt, que habría que subir al directorio correspondiente del servidor e indicarlo en el archivo de configuración correspondiente del servidor web.
Sin embargo, seguirá siendo necesario indicarle a apache la ruta al SSLCertificateChainFile mediante la línea de configuración:
SSLCertificateChainFile /etc/ssl/private/STAR_cect_org.ca-bundle
El archivo STAR_cect_org.ca-bundle está formado por la concatenación de los archivos
- COMODORSADomainValidationSecureServerCA.crt
- COMODORSAAddTrustCA.crt
en ese orden.