GoldenLine
Zaloguj się
Jakub Ratajczak

Jakub Ratajczak Starszy Informatyk

Temat: SSL Certum i Apache

Witam
Ostatnio zakupiłem certyfikaty SSL przez serwis nazwa.pl dla *.domena.com. Ich wystawcą jest Certum.
Przeczytałem uważnie instrukcję http://www.certum.pl/upload_module/downloads/certum/in... i zgodnie z nią pobrałem plik ca-bundle.crt (zapisalem jako ca-certum.crt).
Skonfigurowałem vhosta następująco:
<VirtualHost *:443>
SSLEngine ON
SSLCertificateFile /etc/pki/tls/httpd/server.pem
SSLCertificateKeyFile /etc/pki/tls/prv/PVK_com.pem
SSLCACertificateFile /etc/pki/tls/httpd/ca-certum.crt
ServerAdmin j.ratajczak@domena.com
DocumentRoot /var/www/html/own/
ServerName http://own.domena.com
ServerAlias own.domena.com
ErrorLog logs/ssl_own_error_log
CustomLog logs/ssl_own_access_log common
</VirtualHost>

No i wchodząc teraz na https://own.domena.com :
1) W chrome certyfikat jest zaufany
2) W IE i Firefox nie (sec_error_unknown_issuer)

Dodam tylko, że z panelu klienta nazwa.pl można pobrać 2 certyfikaty. Mój i taki co to się nazywa Root CA i z którym nieszczególnie wiem co zrobić :)

Czy ktoś może mi powiedzieć gdzie popełniam błąd??? Bo ryję już pół dnia i nic z tego nie wynika :)

Tak wygląda ścieżka certyfikacji w Chrome:

Obrazek


A tak w FF:

Obrazek
Ten post został edytowany przez Autora dnia 16.10.13 o godzinie 18:02
Link do wypowiedziLink
Maciej K.

Maciej K. DevOps Engineer

Temat: SSL Certum i Apache

Poczytaj o zmiennej SSLCertificateChainFile
Link do wypowiedziLink
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: SSL Certum i Apache

Tyle co podałeś to są skutki.
A przyczyny to należy szukać w logach.
Link do wypowiedziLink
Jakub Ratajczak

Jakub Ratajczak Starszy Informatyk

Temat: SSL Certum i Apache

W logach przepraszam czego?
W logach apacha to ja raczej (a nawet na pewno bo sprawdzałem) nic nie znajdę.
No chyba, że masz na myśli logi przeglądarki :) Bo w końcu jedna przeglądarka mówi, że wszystko OK a druga, że nie bardzo.

Ano czytać to ja czytałem. I nawet sprawdzałem:
SSLCertificateChainFile /etc/pki/tls/httpd/ca-certum.crt

Myślałem, że w pliku pobranym ze strony certum powinny być wszystkie certyfikaty "jednostek podrzędnych". A jednak nie....
Link do wypowiedziLink
Maciej K.

Maciej K. DevOps Engineer

Temat: SSL Certum i Apache

Jeszcze tak na zupełnym marginesie zaznaczę, że nie wszystkie systemy operacyjne i przeglądarki obsługują mechanizm SNI ( http://en.wikipedia.org/wiki/Server_Name_Indication ). To tak odnośnie wpisu w konfiguracji <VirtualHost *:443>
Link do wypowiedziLink
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: SSL Certum i Apache

Skoro w logach apache nic nie widzisz...

Sprawdzałeś chociaż czy apache wypluwa wszystkie certyfikaty? CA, pośredni, Twój?
Link do wypowiedziLink
Jakub Ratajczak

Jakub Ratajczak Starszy Informatyk

Temat: SSL Certum i Apache

Nie napisałem, że nic nie widzę, tylko, że nic nie ma. Dosłownie plik ssl_own_error_log ma 0b

Problem rozwiązałem i niedługo zamierzam dla potomnych opisać w jaki sposób, co nie zmienia faktu, że owy log absolutnie w niczym mi tu nie pomógł.Ten post został edytowany przez Autora dnia 17.10.13 o godzinie 14:17
Link do wypowiedziLink
Jakub Ratajczak

Jakub Ratajczak Starszy Informatyk

Temat: SSL Certum i Apache

Gdyby kogoś interesowało rozwiązanie to tutaj opisałem:
http://www.dobreprogramy.pl/eqba/ElektroSzpec-i-certyf...
Link do wypowiedziLink
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: SSL Certum i Apache

Trochę to dziwne, że z ca-bundle ściągniętym z Certum nie działało.
Instalowałem tak nie jeden raz.
Link do wypowiedziLink
Jakub Ratajczak

Jakub Ratajczak Starszy Informatyk

Temat: SSL Certum i Apache

Hmm... Popatrz na screen'y które wrzuciłem a potem otwórz ca-bundle do którego link podawałem i znajdź tam Certum Global Services CA....
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Apache 2.4, mod_proxy +SSL ...




Wyślij zaproszenie do
Anuluj