Certificate chain Complete

[it.kroplis]

Sveiki!

 

Radūsies problēma ar SSl sertifikātu:

Nopirkts caur RapidSSL. Kad no SSL checkera https://www.geocerts.com/ssl_checkerskanēju webservisu kur ir nopirktais sertifikāts, atgriež certificate chain neatbilstības. Kad es no webservera pārbaudu vai ir Certificate Authority visi sertifikāti jau ir salikti. 

 

 

Certificate Chain Complete?   A valid Root CA Certificate could not be located, the certificate will likely display browser warnings.

Common name: domain.es.lv
Organization:
Valid from May 15, 2015 to May 07, 2016
Issuer: RapidSSL SHA256 CA - G3

Common name: RapidSSL SHA256 CA - G3 (Download)
Organization: GeoTrust Inc.
Valid from August 29, 2014 to May 20, 2022
Issuer: GeoTrust Global CA

Common name: GeoTrust Global CA (Download)
Organization: GeoTrust Inc.
Valid from May 21, 2002 to August 21, 2018
Issuer: Equifax

Common name:
Organization: Equifax
Valid from August 22, 1998 to August 22, 2018
Issuer: Equifax 

 

 

Vai iespējams, ka vajag sertifikātu ķēdes pem failu mest iekšā kā vienu, kurā iekšā ir teiksim visi tie sertifikāti?

[NewAge]

Atkarīgs, kas par web serveri. Piemēram, nginx visi sertifikāti ir vienā failā: http://nginx.org/en/docs/http/configuring_https_servers.html#chains bet Apache ir speciāla SSLCertificateChainFile opcija. Jebkurā gadījumā tev vajag visu ķēdi sākot no Server certificate, tad intermediate un līdz CA sertifikātam. Iemesls kāpēc browseris neko nesaka ir tāds, ka browserī jau ir ieimportēti visi zināmie un uzticamie CA un intermediate sertifikāti.

Labots Jūnijs 1, 2015 - NewAge

[it.kroplis]

Neatrodu uz kāda webservera tas ir būvēts

Tātad es nojaušu, ka vajag esošos trīs sertifikātus no RapidSSL-GeoTrust-Equifax dzēst no webservera CA. Un tad kaut kur vajadzētu sadabūt vai sataisīt vienu .pem kam iekšā ir trīs sertifikāti?

Ir moš kur kāds konstruktors pieejams? Vai kāds zin kur to dabūt gatavu?

[NewAge]

Kāds vēl konstruktors? vienkārši pem failā, kas ir parasts text fails saliec (t.i. iekopē) visus intermediate sertifikātus. CA sertifikātu pem failā parasti neliek.

[it.kroplis]

Tātad sametu tos trīs vienu pēc otra. Nosaucu par sagatave.pem un saglabāju?

 

-----BEGIN CERTIFICATE-----

MIIEJTCCAw2gAwIBAgIDAjp3MA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT

MRYwFAYDVQQKEw1HZW9UcnVzdCBJbmMuMRswGQYDVQQDExJHZW9UcnVzdCBHbG9i

YWwgQ0EwHhcNMTQwODI5MjEzOTMyWhcNMjIwNTIwMjEzOTMyWjBHMQswCQYDVQQG

EwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEgMB4GA1UEAxMXUmFwaWRTU0wg

U0hBMjU2IENBIC0gRzMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCv

VJvZWF0eLFbG1eh/9H0WA//Qi1rkjqfdVC7UBMBdmJyNkA+8EGVf2prWRHzAn7Xp

SowLBkMEu/SW4ib2YQGRZjEiwzQ0Xz8/kS9EX9zHFLYDn4ZLDqP/oIACg8PTH2lS

1p1kD8mD5xvEcKyU58Okaiy9uJ5p2L4KjxZjWmhxgHsw3hUEv8zTvz5IBVV6s9cQ

DAP8m/0Ip4yM26eO8R5j3LMBL3+vV8M8SKeDaCGnL+enP/C1DPz1hNFTvA5yT2AM

QriYrRmIV9cE7Ie/fodOoyH5U/02mEiN1vi7SPIpyGTRzFRIU4uvt2UevykzKdkp

YEj4/5G8V1jlNS67abZZAgMBAAGjggEdMIIBGTAfBgNVHSMEGDAWgBTAephojYn7

qwVkDBF9qn1luMrMTjAdBgNVHQ4EFgQUw5zz/NNGCDS7zkZ/oHxb8+IIy1kwEgYD

VR0TAQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAQYwNQYDVR0fBC4wLDAqoCig

JoYkaHR0cDovL2cuc3ltY2IuY29tL2NybHMvZ3RnbG9iYWwuY3JsMC4GCCsGAQUF

BwEBBCIwIDAeBggrBgEFBQcwAYYSaHR0cDovL2cuc3ltY2QuY29tMEwGA1UdIARF

MEMwQQYKYIZIAYb4RQEHNjAzMDEGCCsGAQUFBwIBFiVodHRwOi8vd3d3Lmdlb3Ry

dXN0LmNvbS9yZXNvdXJjZXMvY3BzMA0GCSqGSIb3DQEBCwUAA4IBAQCjWB7GQzKs

rC+TeLfqrlRARy1+eI1Q9vhmrNZPc9ZE768LzFvB9E+aj0l+YK/CJ8cW8fuTgZCp

fO9vfm5FlBaEvexJ8cQO9K8EWYOHDyw7l8NaEpt7BDV7o5UzCHuTcSJCs6nZb0+B

kvwHtnm8hEqddwnxxYny8LScVKoSew26T++TGezvfU5ho452nFnPjJSxhJf3GrkH

uLLGTxN5279PURt/aQ1RKsHWFf83UTRlUfQevjhq7A6rvz17OQV79PP7GqHQyH5O

ZI3NjGFVkP46yl0lD/gdo0p0Vk8aVUBwdSWmMy66S6VdU5oNMOGNX2Esr8zvsJmh

gP8L8mJMcCaY

-----END CERTIFICATE-----

----BEGIN CERTIFICATE-----

MIIDfTCCAuagAwIBAgIDErvmMA0GCSqGSIb3DQEBBQUAME4xCzAJBgNVBAYTAlVT

MRAwDgYDVQQKEwdFcXVpZmF4MS0wKwYDVQQLEyRFcXVpZmF4IFNlY3VyZSBDZXJ0

aWZpY2F0ZSBBdXRob3JpdHkwHhcNMDIwNTIxMDQwMDAwWhcNMTgwODIxMDQwMDAw

WjBCMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEbMBkGA1UE

AxMSR2VvVHJ1c3QgR2xvYmFsIENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB

CgKCAQEA2swYYzD99BcjGlZ+W988bDjkcbd4kdS8odhM+KhDtgPpTSEHCIjaWC9m

OSm9BXiLnTjoBbdqfnGk5sRgprDvgOSJKA+eJdbtg/OtppHHmMlCGDUUna2YRpIu

T8rxh0PBFpVXLVDviS2Aelet8u5fa9IAjbkU+BQVNdnARqN7csiRv8lVK83Qlz6c

JmTM386DGXHKTubU1XupGc1V3sjs0l44U+VcT4wt/lAjNvxm5suOpDkZALeVAjmR

Cw7+OC7RHQWa9k0+bw8HHa8sHo9gOeL6NlMTOdReJivbPagUvTLrGAMoUgRx5asz

PeE4uwc2hGKceeoWMPRfwCvocWvk+QIDAQABo4HwMIHtMB8GA1UdIwQYMBaAFEjm

aPkr0rKV10fYIyAQTzOYkJ/UMB0GA1UdDgQWBBTAephojYn7qwVkDBF9qn1luMrM

TjAPBgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBBjA6BgNVHR8EMzAxMC+g

LaArhilodHRwOi8vY3JsLmdlb3RydXN0LmNvbS9jcmxzL3NlY3VyZWNhLmNybDBO

BgNVHSAERzBFMEMGBFUdIAAwOzA5BggrBgEFBQcCARYtaHR0cHM6Ly93d3cuZ2Vv

dHJ1c3QuY29tL3Jlc291cmNlcy9yZXBvc2l0b3J5MA0GCSqGSIb3DQEBBQUAA4GB

AHbhEm5OSxYShjAGsoEIz/AIx8dxfmbuwu3UOx//8PDITtZDOLC5MH0Y0FWDomrL

NhGc6Ehmo21/uBPUR/6LWlxz/K7ZGzIZOKuXNBSqltLroxwUCEm2u+WR74M26x1W

b8ravHNjkOR/ez4iyz0H7V84dJzjA1BOoa+Y7mHyhD8S

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJV

UzEQMA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN1cmUgQ2Vy

dGlmaWNhdGUgQXV0aG9yaXR5MB4XDTk4MDgyMjE2NDE1MVoXDTE4MDgyMjE2NDE1

MVowTjELMAkGA1UEBhMCVVMxEDAOBgNVBAoTB0VxdWlmYXgxLTArBgNVBAsTJEVx

dWlmYXggU2VjdXJlIENlcnRpZmljYXRlIEF1dGhvcml0eTCBnzANBgkqhkiG9w0B

AQEFAAOBjQAwgYkCgYEAwV2xWGcIYu6gmi0fCG2RFGiYCh7+2gRvE4RiIcPRfM6f

BeC4AfBONOziipUEZKzxa1NfBbPLZ4C/QgKO/t0BCezhABRP/PvwDN1Dulsr4R+A

cJkVV5MW8Q+XarfCaCMczE1ZMKxRHjuvK9buY0V7xdlfUNLjUA86iOe/FP3gx7kC

AwEAAaOCAQkwggEFMHAGA1UdHwRpMGcwZaBjoGGkXzBdMQswCQYDVQQGEwJVUzEQ

MA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN1cmUgQ2VydGlm

aWNhdGUgQXV0aG9yaXR5MQ0wCwYDVQQDEwRDUkwxMBoGA1UdEAQTMBGBDzIwMTgw

ODIyMTY0MTUxWjALBgNVHQ8EBAMCAQYwHwYDVR0jBBgwFoAUSOZo+SvSspXXR9gj

IBBPM5iQn9QwHQYDVR0OBBYEFEjmaPkr0rKV10fYIyAQTzOYkJ/UMAwGA1UdEwQF

MAMBAf8wGgYJKoZIhvZ9B0EABA0wCxsFVjMuMGMDAgbAMA0GCSqGSIb3DQEBBQUA

A4GBAFjOKer89961zgK5F7WF0bnj4JXMJTENAKaSbn+2kmOeUJXRmm/kEd5jhW6Y

7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zsmWLIodz2uFHdh

1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4

-----END CERTIFICATE-----

 

 

Un tad importēju CA un visam būtu jābūt?

 

 

Vai vajag tik pirmos divus?

Labots Jūnijs 1, 2015 - it.kroplis

[NewAge]

Jā, samet visu intermediate sertifikātus vienā, nosauc par whatever.pem un viss. Bet kā jau teicu, tad atkarībā no webservera, konfigurācija var būt dažāda. Piemēram, nginx visi šie intermediate sertifikāti ir jāliek kopā ar servera sertifikātu. Apache intermediate certificate chain ir jāliek kopā, bet servera sertifikāts atsevišķi. Tev jālasa sava servera dokumentācija. Un, protams, ja tas nav izdarīts, tad serverī jāieimportē CA root sertifikāts. Iekš Linux visu sertifikātu pareizību/nepareizību var pārbaudīt ar openssl tooli, kaut vai tavi šie trīs intemediate certi:

# openssl verify -verbose intermediate.crt
intermediate.crt: OK

Ja gribi pārbaudīt intermediate sertifikātu un tava servera sertifikāta chain, tad:

openssl verify -verbose intermediate.crt server.crt

Vai pilnu chain:

openssl verify -verbose -CAfile CA.crt intermediate.crt server.crt

utt.

Labots Jūnijs 1, 2015 - NewAge

[it.kroplis]

Ok sametu abus kopā. uz 443 porta sāka strādāt kā nākas. Uz kastes ir divi web servisi un otrs, uz 8443 joprojām uzrādās kā nekorekts no ssl chechera.

[NewAge]

Uz abiem portiem vai tad vienāds domēns? Ja nē, tad katram domēnam vajag savu sertifikātu ja vien nav wildcard sertifikāts vai sertifikāts ar subject alternative names

[it.kroplis]

Domēns vienāds porti tik citi. 8443 webservisa opcijās ir ķeksis "Per User Certificate Encryption" [Enable] . Moš tas rada papildus grūtības uz to 8443