Я установил новый сертификат SSL, используя хеширование SHA2 вместо SHA1. Моя цепочка проверяется с помощью этих онлайн-верификаторов:
Однако этот говорит мне, что не может найти корневой ЦС:
Как это исправить?
Изменить: Derp, вот URL-адрес: secure.symt.us
Это на Apache2 на CentOS.
Я в точности выполнил инструкции GoDaddy по установке и перезапустил сервер.
Изменить 2, apache vhost conf:
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/ca.crt
SSLCertificateKeyFile /etc/pki/tls/private/ca.key
SSLCertificateChainFile /etc/pki/tls/certs/gd_bundle-g2.crt
==== [решено] ====
Проблема оказалась в том, что мой vhost определялся как <VirtualHost *:443>. Изменение его на IP-адрес сервера <VirtualHost xx.xx.xx.xx:443> починил это.
Был универсальный дефолт <VirtualHost _default_:443> хотя и без директивы SSLCertificateChainFile. Grepping / etc / httpd для SSLCertificateChainFile вернул только мою директиву.
Возможно, apache имеет свой собственный SSLCertificateChainFile по умолчанию внутри и отказывался отправлять мой, когда настроен как *: 443?
Вам не хватает цепочки сертификатов. следить Инструкции GoDaddy, убедитесь, что вы установили их промежуточные сертификаты (обычно называемые цепочкой или связкой)
GoDaddy поддерживает Интернет-цензуру. Вам следует серьезно пересмотреть их финансирование. Особенно когда можно получить SSL-сертификаты бесплатно.
Для Apache 2.2.x вам потребуются все три из следующих (для стандартной конфигурации)
SSLCertificateFile /path/to/public/key_file
SSLCertificateKeyFile /path/to/private/key_file
SSLCertificateChainFile /path/to/chain/file
Скорее всего, вам не хватает последнего.
Ваш сервер неправильно настроен для отправки необходимого промежуточного сертификата. Видеть этот ответ для более подробного описания того, почему это проблема, и почему вы (или даже некоторые верификаторы SSL) можете не заметить ее во время тестирования.
Отсутствующий сертификат в вашем случае http://certificates.godaddy.com/repository/gdig2.crt.
В Онлайн-тест SSL Labs показывает эту проблему как предупреждение (и, кстати, обнаруживает несколько других проблем с конфигурацией вашего сервера).
У меня такая же проблема, когда я вижу сайт с Android, на странице отображается ошибка сертификата. Я тестирую страницу с https://www.sslshopper.com/ssl-checker.html и цепочка разорвана, после нескольких тестов использую этот сертификат http://certificates.godaddy.com/repository/gdig2.crt как промежуточный сертификат для этого свойства SSLCertificateChainFile. Все мои хосты настроены с помощью и, и это отлично работает.
Проблема отняла у меня часы работы. Имел подстановочный сертификат от Global Sign; см. www.unfallkassesachsn.de. Моя ошибка: настроил SSL ... Файл в vhosts.d. Сделав это в ssl-global.conf, я получил пятёрку от Qualys.