5 votos

joshua.paling avatar

SSL Wildcard se comporta sistemáticamente a través de los navegadores / OS / equipos

Preguntado el 4 de Enero, 2013
Cuando se hizo la pregunta
2207 visitas
Cuantas visitas ha tenido la pregunta
4 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Tengo un certificado wildcard SSL instalado en un dominio alojado con los Medios de comunicación Templos Dedicados Virtuales 4.0. He aquí un simple ejemplo de la página que estoy tratando de servir a través de SSL: https://ssltest.bblhosted.com/

Ahora, otras personas a las que he preguntado (unos 4 o 5) dicen que el sitio funciona bien en sus equipos, en una variedad de navegadores, sin advertencia de seguridad. Sin embargo, estoy obteniendo resultados inconsistentes en mi equipo.

Aquí están mis resultados. Estoy ejecutando la última OSX, Windows 7 se ejecuta a través de Parallels, y las últimas versiones de todos los navegadores:

OSX / Firefox: Candado muestra, sin problemas. Windows 7 / Firefox: Advertencia - "Esta conexión no es de confianza'

OSX / Chrome: Advertencia - 'Este de seguridad del sitio no es de confianza!' Windows 7 / Chrome: Verde Candado - 'Identidad verificada por RappidSSL CA'.

OSX / Ópera: Advertencia - 'Esta cadena de certificados del servidor es incompleta, y el firmante(s) no están registradas. Aceptar?' Windows 7 / Ópera: Candado muestra, 'conectado de forma segura, limpia el registro de la seguridad'.

OSX / Safari: Advertencia - "Safari no puede verificar la identidad del sitio web'

Windows 7 / IE: Candado muestra, 'Esta conexión para el servidor está cifrada'.

Mi pregunta es, ¿alguien puede proporcionar alguna idea de lo que podría estar causando el problema aquí, o cómo hacer para arreglarlo? Podría ser sólo un problema en mi equipo, y si es así, ¿qué? Lo más extraño es que puedo obtener resultados opuestos en OSX frente a Windows 7, para el mismo navegadores.

Incluso si sólo se puede comentar qué navegador y sistema operativo que está usando, y si no funciona para usted, eso sería genial! Gracias.

_ ACTUALIZACIÓN:

El correo electrónico inicial de Rapid SSL me dio un Certificado y un certificado de la CA. He actualizado para que incluya los dos certificados de CA aquí, que Christopher Perrin vinculado.

He probado ssltest.bblhosted.com con Rapid SSL de la herramienta y dice que todo está configurado correctamente (a pesar de que la herramienta le dio un éxito antes de que he cambiado el certificado de la CA, demasiado).

Esta herramienta da un error y dice que es más probable que un certificado intermedio problema.

Estoy actualizando el certificado a través de parallels Plesk panel, y hago la advertencia "Advertencia: el certificado de la CA no firmar el certificado.", aunque de acuerdo a esto, por lo general, puede ignorar la advertencia.

SSL funciona bien para https://www.bblhosted.com/, https://bblhosted.com/ y https://anythinggoeshere.bblhosted.com/ lo único que no funciona para los subdominios que han sido explícitamente establecido.

en var/log/httpd/error_log, tengo un montón de errores como: "RSA certificado de servidor comodín CommonName (CN) `*.bblhosted.com' NO coincide con el nombre del servidor!?"

y en ssl_error_log, tengo un montón de errores como: "[warn] RSA certificado de servidor es un certificado de CA (BasicConstraints: CA == TRUE !?)"

No tengo experiencia suficiente para saber lo que significa. Voy a continuar con la batalla de mañana!

Preguntado el 4 de Enero, 2013 por joshua.paling

Respuestas

¿Demasiados anuncios?

8voto

Christopher Perrin avatar
Christopher Perrin Puntos 3776

Es posible que la cadena de certificados no es completa. Usted puede ser que necesite para agregar el RapidSSL CA Paquete. a su certificado.

En Apache tiene la opción SSLCertificateChainFile. Establecer este a la ruta donde se guardó el RapidSSL CA Paquete.

Otra opción es añadir la cadena de certificados para su propio añadiéndolos a su certificado como este

cat mycert.pem RapidSSL_CA_bundle.pem >> mychainedcert.pem

Esto debería resolver el problema.

Explicación

Obviamente usted compró su certificado RapidSSL. RapidSSL aunque no es uno de los CAs que sus navegadores de confianza. Esto no es ningún problema porque su navegador fideicomisos de GeoTrust y GeoTrust fideicomisos RapidSSL. Usted sólo tiene que mostrar el navegador el certificado que lo demuestre. Es por eso que usted necesita para incluir la cadena de archivo.

Respondido el 4 de Enero, 2013 por Christopher Perrin (3776 Puntos )

3voto

joshua.paling avatar
joshua.paling Puntos 226

OK, así que Christopher Perrin me puso en la pista de la derecha con SSLCertificateChainFile - gracias. Aquí están los detalles, en caso de que ayudar a alguien más. Estoy usando parallels Plesk panel 11, y obviamente los caminos me refiero a la voluntad de ser diferentes a los demás.

Al crear el subdominio ssltest.bblhosted.com, Plesk crea un archivo en /var/www/vhosts/ssltest.bblhosted.com/conf/13558069200.18494000_httpd.include (o similar). Este archivo sirve efectivamente el propósito de un vhost.conf archivo (o vhost_ssl.conf), excepto que es generado automáticamente por plesk, y será automáticamente anulada cada vez que cambie la configuración a través de parallels Plesk panel.

El archivo contiene la línea:

SSLCertificateFile /usr/local/psa/var/certificates/cert-Eq8jue

que muestra dónde encontrar mi certificado SSL. Lo que no contiene, es una línea que indica dónde encontrar el certificado de la CA. Por lo que debe contener la línea: 

SSLCertificateChainFile /usr/local/psa/var/certificates/cert-t8ReAO

(Obviamente, la ruta de acceso debe apuntar a su propio Certificado de CA). Hasta donde yo sé, el hecho de que esta línea no está incluido es un error en Plesk. Usted puede agregar la línea de ese archivo, directamente debajo de la SSLCertificateFile línea y, a continuación, reinicie el servidor Apache, y que iba a funcionar - sin EMBARGO, si lo hace, el archivo se reemplaza la próxima vez que cambie la configuración para ese dominio en Plesk, y usted puede perder los cambios. En la parte superior del archivo, Plesk da esta advertencia:

#ATTENTION!
#
#DO NOT MODIFY THIS FILE BECAUSE IT WAS GENERATED AUTOMATICALLY,
#SO ALL YOUR CHANGES WILL BE LOST THE NEXT TIME THE FILE IS GENERATED.
#
#IF YOU REQUIRE TO APPLY CUSTOM MODIFICATIONS, PERFORM THEM IN THE  FOLLOWING FILES:

#/var/www/vhosts/ssltest.bblhosted.com/conf/vhost.conf
#/var/www/vhosts/ssltest.bblhosted.com/conf/vhost_ssl.conf

Así, he creado /var/www/vhosts/ssltest.bblhosted.com/conf/vhost_ssl.conf y se añade la única línea:

SSLCertificateChainFile /usr/local/psa/var/certificates/cert-t8ReAO

No es necesario añadir nada más, pero que de una sola línea. De lo que yo sé, todas las demás opciones que todavía se toman desde el httpd predeterminada.incluir archivo generado por parallels Plesk panel.

Ahora, usted tiene que decirle a parallels Plesk panel para buscar la vhost_ssl.conf archivo, porque no lo hará por defecto - a pesar de que ha creado! Hacer esto accediendo por SSH y ejecutar este comando:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Que le dirá a parallels Plesk panel para buscar vhost.conf (y vhost_ssl.conf) para todos los dominios. Usted también puede hacerlo para un solo dominio en caso de necesidad.

Último, reinicie el servidor Apache, y el SSL funciona!

Tenga en cuenta que si se agrega otro subdominio, usted necesita ir a través de todo el proceso de nuevo, lo que incluye ejecutar el comando de terminal para hacer Plesk buscar vhost.conf y vhost_ssl.conf para su nuevo dominio o subdominio.

Respondido el 5 de Enero, 2013 por joshua.paling (226 Puntos )

2voto

Robert Holmes avatar
Robert Holmes Puntos 1

Recientemente he configurado exactamente este escenario. Yo tendría que verificar más, PERO:

Cuando la comprobación de los detalles del certificado, se obtiene:

Nome DNS: *.bblhosted.com Nome DNS: bblhosted.com

Tienes bblhosted.com como AltDNSName.

Tengo alrededor de el comportamiento que usted está experimentando por tener un certificado para el dominio root y un comodín cert para cada othersubdomain.

De esa manera el patrón de la máscara del certificado va a coincidir con la url dada en todas las formas posibles de un explorador debe comprobar.

TL;DR: obtener dos nuevos certificados, uno con poco "bblhosted.com" como altDnsName/CN y uno con "*.bblhosted.com".

EDIT: Se puede comprobar si ese es el problema mediante la ejecución de algunos libres de certificados por los chicos de http://www.cacert.org . No me molesté con un comercial cert y he aquellos como mi principal certificados ssl. La única molestia es que la mayoría de OS no enviar su certificado Raíz, así que tendrás que instalarlo en tu propio.

Respondido el 4 de Enero, 2013 por Robert Holmes (1 Puntos )

0voto

zakjan avatar
zakjan Puntos 195

Un certificado puede contener una especial Autoridad de Acceso a la Información de la extensión (RFC 3280) con la URL del certificado del emisor. La mayoría de los navegadores pueden usar la extensión AIA para descargar falta certificado intermedio para completar la cadena de certificados. Pero algunos de los clientes (navegadores móviles, OpenSSL) no soportan esta extensión, por lo que informar de tal certificado no es de confianza.

Usted puede resolver el certificado incompleto de la cadena de problema de forma manual mediante la concatenación de todos los certificados del certificado el certificado root de confianza, de manera exclusiva, en este orden), para evitar tales problemas. Nota, el certificado root de confianza no debe estar allí, ya que está incluido en el sistema del almacén de certificados root.

Usted debe ser capaz de recuperar los certificados intermedios desde el emisor y concat juntos por ti mismo. Por cierto, he escrito un script para automatizar el procedimiento, que se repite a lo largo de la extensión AIA para producir la salida de correctamente encadenado certificados. https://github.com/zakjan/cert-chain-resolver

Respondido el 19 de Enero, 2015 por zakjan (195 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X