Soru sec_error_unknown_issuer ama sadece Firefox ve IE6 ile


Son zamanlarda sitemdeki SSL sertifikasını yeniledim ve başlangıçta sertifikanın doğru bir şekilde kurulduğunu düşünürken, saatlerce önce HTTPS bağlantısının belirli tarayıcılarda ve sürümlerde doğru bir şekilde doğrulanmadığını öğrendim.

Şu anda OK ile aşağıdaki tarayıcıları doğrulamaktadır:

  • Internet Explorer 8
  • Internet Explorer 9
  • Google Chrome 8
  • Opera 11
  • Firefox 3.6.21 (Windows 2000'de)

Ancak aşağıdakilerle doğru bir şekilde kimlik doğrulaması yapılmaz:

  • Firefox 3.6.13 (Windows XP'de)
  • Firefox 6.01 (Windows 7'de)
  • Internet Explorer 6 (Windows 2000'de)

Sertifika sertifika yoluna sahip GeoTrust Global CA > RapidSSL CA > secure.mydomain.com.

Bu problemi ne açıklayabilirdi? Bu bir kurulum problemi mi? Tarayıcı problemi? Sertifika sorunu?

Bu sorunu nasıl çözebilirim?


6
2017-09-04 15:36


Menşei


İlk tepkim, zincirdeki bir ara veya kök sertifikası, etkilenen tarayıcılar tarafından güvenilmez, ancak Firefox 6.0.1 beni fırlatır. Bu, birden çok kullanıcı tarafından mı yoksa Firefox'ta güvenilir sertifikalarla uğraşan bir kişi tarafından mı doğrulanıyor? - Ben Pilbrow
Tüm tarayıcılar en yeni SSL sürümünü kullanıyor mu? (3.0 Sanırım)? - U4iK_HaZe
@Ben Pilbrow Yorumunuz için çok teşekkürler (+1). Şu anda bunu test eden tek kişi benim (farklı makineler ve tarayıcılarda) ve Firefox 6.0.1'in yeni bir Windows 7 netbook'unun üzerinde çalışıp çalışamayacağını söyleyebiliyorum. - scatmoi
Bunun gerçekleştiği alan adını paylaşacak bir konumda mısınız? İstemiyorsanız, sorun giderme işlemini kolaylaştırır. - Ben Pilbrow
@Ben Pilbrow Sertifikayı satın alan bendim ama onu kuran kişi ben değilim. Kurulum, web barındırma desteğim tarafından paylaşılan bir web barındırma hesabında olduğu gibi gerçekleştirildi. Bu insanlarla olan deneyimim, özellikle de bunun gibi durumları gidermek için bazen rehberliğe ihtiyaç duymalarıdır. Mümkün olduğunca fazla bilgi toplamaya çalışıyorum, bu yüzden sadece benim için değil, aynı zamanda karşılaştığı geleceğin teknisyenleri için de yararlı olabilir. Bu yüzden bunu mümkün olduğunca genel olarak tutmak istiyorum. - scatmoi


Cevaplar:


Aynı problem vardı - temel bir SSL sertifikası aldım (Network Solutions'dan), nginx'in altına yükledim ve hem Opera hem de IE'de gayet iyi çalıştı - ama Firefox 3.6.12'de değil. Problemi böyle çözdüm. VPS'ime root / shell erişimim olduğunu, eğer yapıp yapmadığınızı bilmiyorum (en azından bu, sağlayıcılarınızı doğru yönde gösterebilir).

Çözümü bulmanın ilk adımı kullanmaktı Qualys (göre bu diğer cevap). Bana dedi ki zincir eksikti.

İkincisi kullandım OpenSSL test / hata ayıklama için. Kabuk erişime sahip olduğunuzu varsayarak, komutu yapabilirsiniz (q veya bağlantıyı kesmek için CTRL-C):

openssl s_client -connect mysite.com:443

ve muhtemelen "yerel yayıncı sertifikası alamayan" hatasını göreceksiniz. Bu ayrıca, Firefox'u çalıştırmadan, kabukta çalışırken test etmenin bir yoludur.

SSL Sertifika Zincirleri

Bazı tarayıcılar, iyi bilinen bir yetkili tarafından imzalanmış bir sertifika hakkında şikayette bulunabilir   Sertifika yetkilisi, diğer tarayıcılar sertifikayı kabul edebilir   sorun olmadan. Bu, veren makamın imzalamasından kaynaklanır   olmayan bir ara sertifika kullanan sunucu sertifikası   tanınmış güvenilir sertifikanın sertifika tabanında mevcut   Belirli bir tarayıcı ile dağıtılmış yetkililer. Bunda   yetki veren bir zincirleme sertifikaları paketi hangi   İmzalı sunucu sertifikası ile birleştirilmelidir. Sunucu   sertifika görünmelidir önce zincirleme sertifikaları   birleştirilmiş dosya

Nginx yapılandırması

Benim durumumda Ağ Çözümlerinden üç dosya aldım - mysite.com.crt, AddTrustExternalCARoot.crt, ve NetworkSolutionsDVServerCA.crt. Yoktu demet dosya, ancak diğer sertifikalardan birini oluşturmak mümkündür. Bazı deneme-yanılma sonrası, ihtiyacım olan şeyi buldum:

$ cat mysite.com.crt NetworkSolutionsDVServerCA.crt > mysite.com.chain.crt

Son adım, nginx sunucumu yeni dosyayla yeniden yapılandırmaktı:

server {
    listen       443;
    ssl          on;
    ssl_certificate        /etc/ssl/certs/mysite.com.chain.crt;
    ssl_certificate_key    /etc/ssl/private/mysite.com.key;

    server_name  mysite.com;
    # and so on
}

Pakette doğru sertifikaları aldıktan ve nginx'i yeniden başlattıktan sonra, openssl Hata bildirmedi, Firefox sorunu olmayan bir sayfa aldı ve Qualys zincirin geçerli olduğunu bildirdi.

Apache yapılandırması

Apache'yi çalıştırdığınız için, siz (veya tedarikçileriniz) SSL için yapılandır Doğru dosya konumları ile, hangisi eksik orta düzey zincir dosyası:

<VirtualHost 192.168.0.1:443>
    DocumentRoot /var/www/html2
    ServerName www.yourdomain.com
    SSLEngine on
    SSLCertificateFile /path/to/your_domain_name.crt
    SSLCertificateKeyFile /path/to/your_private.key
    SSLCertificateChainFile /path/to/DigiCertCA.crt
</VirtualHost>

8
2017-10-24 19:02



Chainfile unutmak kolaydır, siz de dahil ettiğinizden emin olun. cevap cyclops için teşekkürler - andrewk


Alanınızda aşağıdaki testleri deneyin:

Qualys: https://www.ssllabs.com/ssldb/index.html

DigiCert: http://www.digicert.com/help/

Her iki rasgele SSL sertifikası sorununu çözmek için çok kullanışlı buldum.


5
2017-09-11 21:08



Bu ilk site (Qualys) çok kullanışlıdır. Firefox ile aynı sorunu yaşıyorum ve daha önce sertifikamın iyi olduğunu söyleyen DigiCert'i denedim. Ancak Qualys, zincirin eksik olduğunu söylüyor, dolayısıyla belki de bir şey eksik. - Cyclops


Bunu Nginx ve StartSSL için kullanıyorum, sınıf CA'sına da ihtiyacı var:

cat ssl.pem ca.pem alt.class1.server.ca.pem> sunucu.pem

veya

cat ssl.pem ca.pem alt.class2.server.ca.pem> sunucu.pem

(sınıf seviyesine göre)


1
2018-06-20 11:38



Yine de, sertifika şu anki geçerliliğini yitirmiş ;-) - Felix Frank


Sertifika bir özel içerebilir Yetkili Bilgi Erişimi uzantı (RFC 3280) veren kuruluşun sertifikasına sahip URL. Çoğu tarayıcı, sertifika zincirini tamamlamak için eksik ara sertifikayı indirmek için AIA uzantısını kullanabilir. Ancak bazı istemciler (daha eski ve mobil tarayıcılar, OpenSSL) bu uzantıyı desteklemiyor, bu yüzden sertifikayu güvenilmeyen olarak bildiriyorlar.

Sen çözebilirsin eksik sertifika zinciri Bu tür sorunları önlemek için sertifikanın tüm sertifikalarını güvenilen kök sertifikasına (bu sırayla özel olarak) birleştirerek el ile sorun. Not, güvenilen kök sertifikası, sistemin kök sertifika deposunda zaten bulunduğundan orada olmamalıdır.

Ara sertifikaları düzenleyiciden almanız ve bunları kendi başınıza bir araya getirebilmeniz gerekir. Prosedürü otomatikleştirmek için bir betik yazdım, doğru zincirli sertifikaların çıktısını üretmek için AIA uzantısının üzerinden geçiyor. https://github.com/zakjan/cert-chain-resolver


1
2018-01-19 02:40



Lütfen komut dosyanızı birden fazla soruda tanıtmayı bırakın. Bir tane yeterli. - Deer Hunter
Cevabımın soruyla tamamen alakalı ve yardımcı olduğuna inanıyorum. - zakjan


Bu hata mesajıyla aynı problemi yaşadım. Yaptığım adımlar açık önbellek yapmak, internet güvenliğini güvenilen web sitesine eklemek. Görünüşe göre hiçbir şey benim için işe yaramaz.

sonra bu çok bilgilendirici siteyi çok basit ve basit buldum.

Çözüm 3. Bu web sitesinden https://www.errorsolutions.tech/error/firefox-error-code-sec_error_unknown_issuer/


-1
2018-02-16 00:08



Lütfen cevabı sadece bir köprü yerine metin olarak belirtin. - Patrick Mevzek