SSL-Fehler: Das lokale Ausstellerzertifikat konnte nicht abgerufen werden

Ich habe Probleme bei der SSL-Konfiguration auf einem Debian 6.0 32bit-server. Ich bin relativ neu mit SSL also bitte Geduld mit mir. Ich bin auch so viele Informationen wie ich kann.
Beachten Sie: Die wahre domain-name wurde geändert um zu schützen, die Identität und Integrität der server.

Konfiguration

Server läuft mit nginx. Es ist wie folgt konfiguriert:

ssl_certificate           /usr/local/nginx/priv/mysite.ca.chained.crt;
ssl_certificate_key       /usr/local/nginx/priv/mysite.ca.key;
ssl_protocols             SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers               HIGH:!aNULL:!MD5;
ssl_verify_depth          2;

Ich kettete mein Zertifikat mit der beschriebenen Methode hier

cat mysite.ca.crt bundle.crt > mysite.ca.chained.crt

wo mysite.ca.crt ist das Zertifikat, das mir die Zeichnungsberechtigung und die bundle.crt ist das CA-Zertifikat auch geschickt, um mich von meinem Zeichnungsberechtigung. Das problem ist, dass ich nicht gekauft haben, das SSL-Zertifikat direkt von GlobalSign, sondern durch mein hosting-provider, Singlehop.

Prüfung

Das Zertifikat überprüft richtig auf Safari und Chrome, aber nicht Firefox. Erste Suche ergab, dass es möglicherweise ein problem mit der CA.

Erkundete ich die Antwort auf eine ähnliche Frageaber nicht in der Lage war, eine Lösung zu finden, wie ich nicht wirklich verstehen, was der Zweck jedes Zertifikat dient.

Ich verwendet openssl ' s s_client um die Verbindung zu testen, und erhielt eine Ausgabe, die scheint das gleiche problem wie die ähnliche Frage. Die Fehlermeldung lautet wie folgt:

depth=0 /OU=Domain Control Validated/CN=*.mysite.ca
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /OU=Domain Control Validated/CN=*.mysite.ca
verify error:num=27:certificate not trusted
verify return:1

Einer vollständigen Details der openssl-Reaktion (mit Zertifikaten und unnötige Informationen abgeschnitten) finden Sie hier.

Sehe ich auch die Warnung:

No client certificate CA names sent

Ist es möglich, dass dies das problem ist? Wie kann ich dafür sorgen, dass nginx sendet diese CA-Namen?

Versucht das Problem zu Lösen

Habe ich versucht das problem zu lösen durch das herunterladen des root-CA-direkt von GlobalSign, erhielt aber den gleichen Fehler. Ich aktualisiert die root CA auf meinem Debian-server mit der update-ca-certificates Befehl, aber nichts änderte sich. Dies ist wahrscheinlich, weil die CA gesendet von meinem provider richtig war, so führte Sie zu dem Zertifikat als doppelt verkettete, die Hilfe nicht.

0 s:/OU=Domain Control Validated/CN=*.mysite.ca
   i:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
1 s:/O=AlphaSSL/CN=AlphaSSL CA - G2
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
2 s:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA

Nächste Schritte

Bitte lassen Sie mich wissen, wenn es irgendetwas gibt, was ich versuchen kann, oder ob ich einfach nur die ganze Sache falsch konfiguriert.

InformationsquelleAutor der Frage Jamie Counsell | 2014-06-23

  1. 37

    jww ist Recht — Sie verweisen, die falsche intermediate-Zertifikat.

    Als Sie ausgestellt wurden, mit einer SHA256-Zertifikat, müssen Sie den SHA256-intermediate. Sie können nehmen Sie es von hier: http://secure2.alphassl.com/cacert/gsalphasha2g2r1.crt

    InformationsquelleAutor der Antwort RickK

Schreibe einen Kommentar