it.kroplis Ierakstīts Jūnijs 1, 2015 Share Ierakstīts Jūnijs 1, 2015 Sveiki! Radūsies problēma ar SSl sertifikātu: Nopirkts caur RapidSSL. Kad no SSL checkera https://www.geocerts.com/ssl_checkerskanēju webservisu kur ir nopirktais sertifikāts, atgriež certificate chain neatbilstības. Kad es no webservera pārbaudu vai ir Certificate Authority visi sertifikāti jau ir salikti. Certificate Chain Complete? A valid Root CA Certificate could not be located, the certificate will likely display browser warnings. Common name: domain.es.lvOrganization:Valid from May 15, 2015 to May 07, 2016Issuer: RapidSSL SHA256 CA - G3 Common name: RapidSSL SHA256 CA - G3 (Download)Organization: GeoTrust Inc.Valid from August 29, 2014 to May 20, 2022Issuer: GeoTrust Global CA Common name: GeoTrust Global CA (Download)Organization: GeoTrust Inc.Valid from May 21, 2002 to August 21, 2018Issuer: Equifax Common name:Organization: EquifaxValid from August 22, 1998 to August 22, 2018Issuer: Equifax Vai iespējams, ka vajag sertifikātu ķēdes pem failu mest iekšā kā vienu, kurā iekšā ir teiksim visi tie sertifikāti? Link to comment Share on other sites More sharing options...
NewAge Jūnijs 1, 2015 Share Jūnijs 1, 2015 (labots) Atkarīgs, kas par web serveri. Piemēram, nginx visi sertifikāti ir vienā failā: http://nginx.org/en/docs/http/configuring_https_servers.html#chains bet Apache ir speciāla SSLCertificateChainFile opcija. Jebkurā gadījumā tev vajag visu ķēdi sākot no Server certificate, tad intermediate un līdz CA sertifikātam. Iemesls kāpēc browseris neko nesaka ir tāds, ka browserī jau ir ieimportēti visi zināmie un uzticamie CA un intermediate sertifikāti. Labots Jūnijs 1, 2015 - NewAge Link to comment Share on other sites More sharing options...
it.kroplis Jūnijs 1, 2015 Author Share Jūnijs 1, 2015 Neatrodu uz kāda webservera tas ir būvēts Tātad es nojaušu, ka vajag esošos trīs sertifikātus no RapidSSL-GeoTrust-Equifax dzēst no webservera CA. Un tad kaut kur vajadzētu sadabūt vai sataisīt vienu .pem kam iekšā ir trīs sertifikāti? Ir moš kur kāds konstruktors pieejams? Vai kāds zin kur to dabūt gatavu? Link to comment Share on other sites More sharing options...
NewAge Jūnijs 1, 2015 Share Jūnijs 1, 2015 Kāds vēl konstruktors? vienkārši pem failā, kas ir parasts text fails saliec (t.i. iekopē) visus intermediate sertifikātus. CA sertifikātu pem failā parasti neliek. Link to comment Share on other sites More sharing options...
it.kroplis Jūnijs 1, 2015 Author Share Jūnijs 1, 2015 (labots) Tātad sametu tos trīs vienu pēc otra. Nosaucu par sagatave.pem un saglabāju? -----BEGIN CERTIFICATE----- MIIEJTCCAw2gAwIBAgIDAjp3MA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT MRYwFAYDVQQKEw1HZW9UcnVzdCBJbmMuMRswGQYDVQQDExJHZW9UcnVzdCBHbG9i YWwgQ0EwHhcNMTQwODI5MjEzOTMyWhcNMjIwNTIwMjEzOTMyWjBHMQswCQYDVQQG EwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEgMB4GA1UEAxMXUmFwaWRTU0wg U0hBMjU2IENBIC0gRzMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCv VJvZWF0eLFbG1eh/9H0WA//Qi1rkjqfdVC7UBMBdmJyNkA+8EGVf2prWRHzAn7Xp SowLBkMEu/SW4ib2YQGRZjEiwzQ0Xz8/kS9EX9zHFLYDn4ZLDqP/oIACg8PTH2lS 1p1kD8mD5xvEcKyU58Okaiy9uJ5p2L4KjxZjWmhxgHsw3hUEv8zTvz5IBVV6s9cQ DAP8m/0Ip4yM26eO8R5j3LMBL3+vV8M8SKeDaCGnL+enP/C1DPz1hNFTvA5yT2AM QriYrRmIV9cE7Ie/fodOoyH5U/02mEiN1vi7SPIpyGTRzFRIU4uvt2UevykzKdkp YEj4/5G8V1jlNS67abZZAgMBAAGjggEdMIIBGTAfBgNVHSMEGDAWgBTAephojYn7 qwVkDBF9qn1luMrMTjAdBgNVHQ4EFgQUw5zz/NNGCDS7zkZ/oHxb8+IIy1kwEgYD VR0TAQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAQYwNQYDVR0fBC4wLDAqoCig JoYkaHR0cDovL2cuc3ltY2IuY29tL2NybHMvZ3RnbG9iYWwuY3JsMC4GCCsGAQUF BwEBBCIwIDAeBggrBgEFBQcwAYYSaHR0cDovL2cuc3ltY2QuY29tMEwGA1UdIARF MEMwQQYKYIZIAYb4RQEHNjAzMDEGCCsGAQUFBwIBFiVodHRwOi8vd3d3Lmdlb3Ry dXN0LmNvbS9yZXNvdXJjZXMvY3BzMA0GCSqGSIb3DQEBCwUAA4IBAQCjWB7GQzKs rC+TeLfqrlRARy1+eI1Q9vhmrNZPc9ZE768LzFvB9E+aj0l+YK/CJ8cW8fuTgZCp fO9vfm5FlBaEvexJ8cQO9K8EWYOHDyw7l8NaEpt7BDV7o5UzCHuTcSJCs6nZb0+B kvwHtnm8hEqddwnxxYny8LScVKoSew26T++TGezvfU5ho452nFnPjJSxhJf3GrkH uLLGTxN5279PURt/aQ1RKsHWFf83UTRlUfQevjhq7A6rvz17OQV79PP7GqHQyH5O ZI3NjGFVkP46yl0lD/gdo0p0Vk8aVUBwdSWmMy66S6VdU5oNMOGNX2Esr8zvsJmh gP8L8mJMcCaY -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- MIIDfTCCAuagAwIBAgIDErvmMA0GCSqGSIb3DQEBBQUAME4xCzAJBgNVBAYTAlVT MRAwDgYDVQQKEwdFcXVpZmF4MS0wKwYDVQQLEyRFcXVpZmF4IFNlY3VyZSBDZXJ0 aWZpY2F0ZSBBdXRob3JpdHkwHhcNMDIwNTIxMDQwMDAwWhcNMTgwODIxMDQwMDAw WjBCMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEbMBkGA1UE AxMSR2VvVHJ1c3QgR2xvYmFsIENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB CgKCAQEA2swYYzD99BcjGlZ+W988bDjkcbd4kdS8odhM+KhDtgPpTSEHCIjaWC9m OSm9BXiLnTjoBbdqfnGk5sRgprDvgOSJKA+eJdbtg/OtppHHmMlCGDUUna2YRpIu T8rxh0PBFpVXLVDviS2Aelet8u5fa9IAjbkU+BQVNdnARqN7csiRv8lVK83Qlz6c JmTM386DGXHKTubU1XupGc1V3sjs0l44U+VcT4wt/lAjNvxm5suOpDkZALeVAjmR Cw7+OC7RHQWa9k0+bw8HHa8sHo9gOeL6NlMTOdReJivbPagUvTLrGAMoUgRx5asz PeE4uwc2hGKceeoWMPRfwCvocWvk+QIDAQABo4HwMIHtMB8GA1UdIwQYMBaAFEjm aPkr0rKV10fYIyAQTzOYkJ/UMB0GA1UdDgQWBBTAephojYn7qwVkDBF9qn1luMrM TjAPBgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBBjA6BgNVHR8EMzAxMC+g LaArhilodHRwOi8vY3JsLmdlb3RydXN0LmNvbS9jcmxzL3NlY3VyZWNhLmNybDBO BgNVHSAERzBFMEMGBFUdIAAwOzA5BggrBgEFBQcCARYtaHR0cHM6Ly93d3cuZ2Vv dHJ1c3QuY29tL3Jlc291cmNlcy9yZXBvc2l0b3J5MA0GCSqGSIb3DQEBBQUAA4GB AHbhEm5OSxYShjAGsoEIz/AIx8dxfmbuwu3UOx//8PDITtZDOLC5MH0Y0FWDomrL NhGc6Ehmo21/uBPUR/6LWlxz/K7ZGzIZOKuXNBSqltLroxwUCEm2u+WR74M26x1W b8ravHNjkOR/ez4iyz0H7V84dJzjA1BOoa+Y7mHyhD8S -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJV UzEQMA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN1cmUgQ2Vy dGlmaWNhdGUgQXV0aG9yaXR5MB4XDTk4MDgyMjE2NDE1MVoXDTE4MDgyMjE2NDE1 MVowTjELMAkGA1UEBhMCVVMxEDAOBgNVBAoTB0VxdWlmYXgxLTArBgNVBAsTJEVx dWlmYXggU2VjdXJlIENlcnRpZmljYXRlIEF1dGhvcml0eTCBnzANBgkqhkiG9w0B AQEFAAOBjQAwgYkCgYEAwV2xWGcIYu6gmi0fCG2RFGiYCh7+2gRvE4RiIcPRfM6f BeC4AfBONOziipUEZKzxa1NfBbPLZ4C/QgKO/t0BCezhABRP/PvwDN1Dulsr4R+A cJkVV5MW8Q+XarfCaCMczE1ZMKxRHjuvK9buY0V7xdlfUNLjUA86iOe/FP3gx7kC AwEAAaOCAQkwggEFMHAGA1UdHwRpMGcwZaBjoGGkXzBdMQswCQYDVQQGEwJVUzEQ MA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN1cmUgQ2VydGlm aWNhdGUgQXV0aG9yaXR5MQ0wCwYDVQQDEwRDUkwxMBoGA1UdEAQTMBGBDzIwMTgw ODIyMTY0MTUxWjALBgNVHQ8EBAMCAQYwHwYDVR0jBBgwFoAUSOZo+SvSspXXR9gj IBBPM5iQn9QwHQYDVR0OBBYEFEjmaPkr0rKV10fYIyAQTzOYkJ/UMAwGA1UdEwQF MAMBAf8wGgYJKoZIhvZ9B0EABA0wCxsFVjMuMGMDAgbAMA0GCSqGSIb3DQEBBQUA A4GBAFjOKer89961zgK5F7WF0bnj4JXMJTENAKaSbn+2kmOeUJXRmm/kEd5jhW6Y 7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zsmWLIodz2uFHdh 1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4 -----END CERTIFICATE----- Un tad importēju CA un visam būtu jābūt? Vai vajag tik pirmos divus? Labots Jūnijs 1, 2015 - it.kroplis Link to comment Share on other sites More sharing options...
NewAge Jūnijs 1, 2015 Share Jūnijs 1, 2015 (labots) Jā, samet visu intermediate sertifikātus vienā, nosauc par whatever.pem un viss. Bet kā jau teicu, tad atkarībā no webservera, konfigurācija var būt dažāda. Piemēram, nginx visi šie intermediate sertifikāti ir jāliek kopā ar servera sertifikātu. Apache intermediate certificate chain ir jāliek kopā, bet servera sertifikāts atsevišķi. Tev jālasa sava servera dokumentācija. Un, protams, ja tas nav izdarīts, tad serverī jāieimportē CA root sertifikāts. Iekš Linux visu sertifikātu pareizību/nepareizību var pārbaudīt ar openssl tooli, kaut vai tavi šie trīs intemediate certi: # openssl verify -verbose intermediate.crt intermediate.crt: OK Ja gribi pārbaudīt intermediate sertifikātu un tava servera sertifikāta chain, tad: openssl verify -verbose intermediate.crt server.crt Vai pilnu chain: openssl verify -verbose -CAfile CA.crt intermediate.crt server.crt utt. Labots Jūnijs 1, 2015 - NewAge 1 Link to comment Share on other sites More sharing options...
it.kroplis Jūnijs 2, 2015 Author Share Jūnijs 2, 2015 Ok sametu abus kopā. uz 443 porta sāka strādāt kā nākas. Uz kastes ir divi web servisi un otrs, uz 8443 joprojām uzrādās kā nekorekts no ssl chechera. Link to comment Share on other sites More sharing options...
NewAge Jūnijs 2, 2015 Share Jūnijs 2, 2015 Uz abiem portiem vai tad vienāds domēns? Ja nē, tad katram domēnam vajag savu sertifikātu ja vien nav wildcard sertifikāts vai sertifikāts ar subject alternative names Link to comment Share on other sites More sharing options...
it.kroplis Jūnijs 2, 2015 Author Share Jūnijs 2, 2015 Domēns vienāds porti tik citi. 8443 webservisa opcijās ir ķeksis "Per User Certificate Encryption" [Enable] . Moš tas rada papildus grūtības uz to 8443 Link to comment Share on other sites More sharing options...
Recommended Posts
Izveido kontu, vai pieraksties esošajā, lai komentētu
Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas
Izveidot jaunu kontu
Piereģistrējies un izveido jaunu kontu, tas būs viegli!
Reģistrēt jaunu kontuPierakstīties
Jums jau ir konts? Pierakstieties tajā šeit!
Pierakstīties tagad!