Назад | Перейти на главную страницу

Как обойти подпись нераспознанного центра сертификации в Domino 9.0.1 с помощью Go Daddy SSL?

В лучшем случае я являюсь администратором по совместительству, поэтому мне приходится делать это только раз в 2-3 года.

Я переустанавливаю Linux-сервер, который работал в 8.5.2. Сертификат SSL от GoDaddy. Я безуспешно создавал keyfile.kyr полдюжины раз. Следуя инструкциям в Domino Admin Help I

  1. создать кольцо для ключей
  2. создать запрос на "сертификат сервера SSL от ЦС"
  3. На сайте Go Daddy я получаю доступ к своим SSL-сертификатам и использую опцию «Re-Key», чтобы создать запрос с алгоритмом подписи SHA-2 и организацией, выпускающей Go Daddy.
  4. В течение нескольких минут доступна загрузка, которую я загружаю. Эта загрузка содержит два файла: gd_bundle-g2-g1.crtи 2b026decb857de.crt
  5. Затем я пытаюсь «объединить сертификаты CA как доверенный корень с файлом набора ключей сервера». из gd_bundle-g2-g1.crt файл. Есть три сертификата с разной степенью успешности ...

Первый сертификат в файле предназначен для общего имени "Корневой центр сертификации Go Daddy - G2". Попытка слить это дает результат:"Подпись сертификата не соответствует содержимому"

Второй сертификат в файле предназначен для общего имени "Центр сертификации Go Daddy Secure - G2". Попытка слить это дает результат:"Не удается найти издателя сертификата среди доверенных корней"

Третий сертификат в файле предназначен для общего имени "Иди папа рут". Попытка объединить его удалась.

Независимо от порядка этих действий ошибки остаются на первых двух.

Когда я пытаюсь выполнить следующий шаг "Установка сертификата в связку ключей"Я получил сообщение"Подпись нераспознанного центра сертификации"что позволяет мне при желании объединить сертификат в любом случае. Но использование сертификата, объединенного таким образом, приводит к тому, что веб-сайт не проверяется, и блокировка SSL заменяется восклицательным знаком исключения.

Я пробовал несколько других файлов .crt от Go Daddy, доступных здесь: https://certs.godaddy.com/anonymous/repository.pki без большего успеха.

Заранее спасибо за ваши идеи по этому поводу.

Проблема в том, что при обновлении сертификата вы приняли метод шифрования по умолчанию SHA2, который еще не поддерживается должным образом. Требовалось переключить его на SHA1. SHA1 использовался по умолчанию, но недавно был изменен. Что-то, что нужно знать в будущем.

по умолчанию godaddy теперь выдает сертификаты в более высоком новом формате. Вы можете повторно выпустить сертификат в год и выбрать sha1.

Прежде всего вам необходимо определить правильный порядок импорта. Корневой сертификат импортируется первым с помощью кнопки «Установить доверенный корневой сертификат ...». Я предполагаю, что следующим должен быть root -G2 и последний, но не менее важный, Security. После установки всех корней в правильном порядке вы сможете установить сам сертификат.

Причина этого в следующем. Думайте о сертификатах как о цепочке. Правило кому-то доверять следующее: я доверяю тебе, только если доверяю твоему отцу. Сам «корневой» сертификат не имеет отца (поэтому он и называется корневым). Сначала вы его импортируете. С этим корневым сертификатом выдается другой сертификат. Чтобы импортировать G2, нужно уже доверять его отцу .. И так далее. Сложность состоит в том, чтобы выяснить, «кто что выпустил», и импортировать в нужном направлении. После завершения цепочки вы можете установить сам сертификат.