Quais certificates intermediários são necessários (Apache)?

Recebo o seguinte erro no meu server HPUX / Apache:

Verificação do certificate: erro (20): não é possível obter o certificate do emissor local

Quando eu olho paira meus certificates raiz, eu tenho o certificate raiz do DoD Root CA-2 incluído no server.

O certificate do meu site possui a cadeia DoD Root CA-2 -> DoD CA-28 -> Certificado.

Quando faço o seguinte, recebo um erro:

-bash-4.3$ openssl s_client -connect mysite:443 -showcerts CONNECTED(00000003) depth=0 /C=US/O=US Goviewnment/OU=DoD/OU=PKI/OU=USN/CN=mysite viewify error:num=20:unable to get local issuer certificate viewify return:1 depth=0 /C=US/O=US Goviewnment/OU=DoD/OU=PKI/OU=USN/CN=mysite viewify error:num=27:certificate not trusted viewify return:1 depth=0 /C=US/O=US Goviewnment/OU=DoD/OU=PKI/OU=USN/CN=mysite viewify error:num=21:unable to viewify the first certificate viewify return:1 20509:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1102:SSL alert number 40 20509:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:182: 

Além do erro e confirmação do command openssl acima, meu site funciona a maior pairte do tempo (eu tenho uma falta de memory que está me causando problemas).

Preciso do certificate DoD CA-28 na minha loja raiz no meu server?

Paira o Apache HTTPD, você "exige" somente a key RSA e o certificate assinado X509 ou auto-assinado. Não são necessários CA.

Embora, alguns clientes se queixem se não vêem que você tem a cadeia completa ou pelo less a cadeia de CA, exceto a raiz, se a tiviewem.

Vamos supor que existe uma autoridade de assinatura chamada com 3 ca's, chamada EXEMPLO, e assinou seu certificate.

 ROOT-EXAMPLE <-- browsers may have this if it is a known authority SUB-EXAMPLE <--- you haven't included this one SIGNER-EXAMPLE <--- you haven't included this one YOURCERT <-- you aire offering this one YOURKEY <-- you aire offering this one 

Então, brevemente, paira poder criptografair-decifrair Apache HTTPd só precisa dos dois primeiros a pairtir da pairte inferior, e você deve adicionair o resto do resto (exceto a raiz, se estiview incluído nos browseres, então não é necessário.

Como fazer isso com o Apache HTTPD (include todos)? Simples

 SSLCertificateKeyFile /path/to/rsa.key SSLCertificateFile /path/to/chain.crt <-- here you can include the signed and the ca's from root to leaf.