Я подписал сертификат SSL (Quick SSL Premium) от Geotrust моим поставщиком VPS (1 и 1). Я сделал именно то, что указано Вот, Я добавил все директивы в файл виртуального хоста моего поддомена, но SSL-сертификат кажется ненадежным. Каковы возможные причины этого?
Я запускаю Ubuntu 10.04 Lucid Lynx с включенными Apache2 и mod_ssl
Возможные причины:
Клиентские часы выставлены неправильно.
В браузере клиента не установлен доверенный центр сертификации.
Сертификат неправильно установлен на сервере или соответствующий закрытый ключ не установлен.
Требуются промежуточные сертификаты, но они неправильно установлены на сервере.
Клиент не пытается получить доступ к сайту через имя, указанное в сертификате.
Сертификат отозван или поврежден.
Если вы поделитесь URL-адресом, мы сразу же решим проблему.
вы можете протестировать установку сертификата с помощью онлайн-проверки sslChecker:
http://www.sslshopper.com/ssl-certificate-tools.html
Он немедленно сообщит вам, если что-то не так с вашим сертификатом CA или немедленным сертификатом.
but the SSL Certificate seems to be untrusted. What are the possible reasons for that?
Скорее всего, ваше обычное имя, назначенное при запросе на подпись сертификата, не соответствует имени хоста, с которым вы используете сертификат. Вам необходимо убедиться, что эти имена совпадают, домен и субдомен. Единственный способ обойтись без одного и того же сертификата на нескольких поддоменах - это использовать сертификат с подстановочными знаками. Однако, как правило, это другая служба, чем традиционные службы сертификации, сертификаты одного домена.
Пример Apache CSR с openssl:
$ openssl req -new -newkey rsa:2048 -nodes -keyout myPrivatekey.key -out mycsr.csr -config openssl.conf
Generating a 2048 bit RSA private key
.....+++
.....................................+++
writing new private key to 'mykey.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:North Carolina
Locality Name (eg, city) []:Raleigh
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Somebody,
Inc.
Organizational Unit Name (eg, section) []:IT
Common Name (eg, YOUR name) []:test.testdomain.com (MUST MATCH HOST)
Email Address []:youremail@domain.com
Затем вы отправите его своему провайдеру CA, и он сгенерирует общедоступный, корневой и промежуточный сертификаты. Используйте свой закрытый ключ, созданный с помощью CSR.
Настройки Apache httpd.conf:
# Secure (SSL/TLS) connections
<IfModule ssl_module>
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
#CA certificates for root and intermediate
SSLCACertificateFile "C:/certs/Geotrust/caroot.crt"
SSLCertificateChainFile "C:/certs/Geotrust/caIntermediate.crt"
#Generated first via openssl; Server public and private keys.
SSLCertificateFile "C:/development/certs/Geotrust/myPublicKey.crt"
SSLCertificateKeyFile "C:/development/certs/Geotrust/myPrivatekey.key"
</IfModule>
<VirtualHost *:443>
SSLEngine On
DocumentRoot "C:/website"
ServerName test.testdomain.com