Назад | Перейти на главную страницу

Сайт не работает после обновления промежуточного сертификата SSL Pro (Verisign)?

У меня есть сайт, на котором истек срок действия промежуточного сертификата. Мой айтишник говорит, что он обновил промежуточный сертификат, но теперь сайт недоступен из-за страницы с ошибкой 404.

Чтобы устранить проблему (так как он уехал на неделю ...), я использовал эту ссылку, чтобы проверить статус сертификата SSL: https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=AR1130

И я получаю следующую ошибку:

Ошибка: программа проверки установки сертификатов подключилась к веб-серверу, но не смогла прочитать сертификаты веб-сервера. Убедитесь, что ваш браузер может установить SSL-соединение с веб-сервером.

Сертификат от Verisign «SSL Pro». Чтобы получить некоторую информацию о том, в чем проблема, нам пришлось обратиться к этой ссылке: https://knowledge.verisign.co.uk/support/ssl-certificates-support/index?page=content&id=SO18873&actp=search&viewlocale=en_US&searchid=1326832230564

Вот отрывок:

Причина
Срок действия сертификата Secure Site Pro / Managed PKI для SSL Premium SSL Intermediate CA истек 24 октября 2011 г.
разрешение
Если у вас есть SSL-сертификат Secure Site Pro или Premium, выпущенный до 10 октября 2010 г., возможно, этот сертификат привязан к следующему Промежуточному ЦС, срок действия которого истек 24 октября 2011 г .:

Есть идеи, что здесь могло пойти не так?

Промежуточные (связанные) сертификаты не продлеваются, Verisign обрабатывает эти сертификаты, поскольку они им принадлежат. Похоже, вы получили новый сертификат, подписанный другим промежуточным сертификатом, отличным от вашего предыдущего сертификата. Вашему серверу нужен этот промежуточный сертификат, чтобы показать клиентам всю цепочку.

Более подробно: у клиентов есть список сертификатов, которым они уже доверяют, то есть корневых центров сертификации. Verisign, вероятно, уже есть в этом списке. Verisign по разным причинам не использует свой корневой сертификат CA для прямой подписи ваших сертификатов сервера. Он использует промежуточный сертификат. Клиенты не знают об этих промежуточных сертификатах. Когда клиенты подключаются к вашему серверу, ваш сервер предоставляет как свой сертификат сервера, так и промежуточный сертификат. Клиент просматривает это и видит, что он доверяет Verisign, который доверяет промежуточному серверу, а промежуточный доверяет сертификату вашего сервера; так что все хорошо.

За исключением того, что на вашем сервере отсутствуют новые промежуточные сертификаты. Таким образом, клиент связывается с вашим сервером и видит только сертификат сервера. Поскольку клиент не может найти цепочку доверия от корневого сертификата Verisign к сертификату сервера, соединение не устанавливается. Чтобы решить эту проблему, вам необходимо установить промежуточный сертификат на свой сервер. Для основных серверов этот процесс отличается:

Для Apache 1.x: вам нужно отредактировать httpd.conf. Найдите директиву SSLCertificateChainFile и укажите его на Промежуточный сертификат, предоставленный Verisign. Центры сертификации обычно предоставляют «пакет сертификатов», «пакет цепочки», «сертификат цепочки» или «промежуточный сертификат» (для ваших целей они все одно и то же).

Боковое примечание: Apache 1.x - действительно древнее программное обеспечение и должно быть устаревшим ... Apache 2.x доступен.