ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Траблы с ssl серти фикатом



On Sat, Aug 22, 2009 at 03:23:31AM +0200, Anton Kuznetsov wrote:

> Ну с порядком сложно ошибиться. К основному я приклеил промежуточные. Их там
> три.
> Обе конторы свои промежуточные конечно присылают вместе с основным - это не
> проблема.
> С глобе все работает. Интересно что делать с godaddy? Вроде как на апаче
> работает, где промежуточные прописываешь отдельной строчкой, в чем трабла на
> nginx?
> Сейчас, когда он работает со склееными сертификатами в один файл, то wget
> ругается на них так:
> 
> $wget "https://app.inntelligenz.com/sign";
> --2009-08-22 05:22:19--  https://app.inntelligenz.com/sign
> Распознаётся app.inntelligenz.com... 174.129.210.211
> Устанавливается соединение с app.inntelligenz.com|174.129.210.211|:443...
> соединение установлено.
> ОШИБКА: невозможно проверить сертификат app.inntelligenz.com, запрошенный
> `/C=US
> /ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=
> http://certificates.godaddy.com/
> repository/CN=Go Daddy Secure Certification
> Authority/serialNumber=07969287':
>   Обнаружен самостоятельно подписанный сертификат.
> 
> Как-то странно все это...

Потому что wget должен знать про эти серфтификаты.

Сейчас "openssl s_client -connect app.inntelligenz.com:443" выдаёт такую
цепочку сертификатов:

Certificate chain
 0 s:/O=app.inntelligenz.com/OU=Domain Control Validated/CN=app.inntelligenz.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, 
Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure 
Certification Authority/serialNumber=07969287
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, 
Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure 
Certification Authority/serialNumber=07969287
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification 
Authority
 2 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification 
Authority
   i:/L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2 Policy 
Validation Authority/CN=http://www.valicert.com//emailAddress=info@xxxxxxxxxxxx
 3 s:/L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2 Policy 
Validation Authority/CN=http://www.valicert.com//emailAddress=info@xxxxxxxxxxxx
   i:/L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2 Policy 
Validation Authority/CN=http://www.valicert.com//emailAddress=info@xxxxxxxxxxxx

У firefox 3.0.13 с чистым профайлом есть второй сертификат
"/C=US/O=The Go Daddy Group, Inc./....". Поэтому доверяет он этой цепочке
и запоминает первый сертификат
"C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./...".

"openssl s_client -connect arjlover.net:443" сейчас выдаёт единственный
сертификат:

Certificate chain
 0 s:/OU=Domain Control Validated/OU=Provided by Globe Hosting, Inc./OU=Globe 
Standard SSL/CN=arjlover.net
   i:/C=RO/O=GLOBE HOSTING CERTIFICATION AUTHORITY/CN=GLOBE SSL Domain 
Validated CA

который не нравится чистому firefox'у, потому что у него нет
"/C=RO/O=GLOBE HOSTING CERTIFICATION AUTHORITY/...". Однако если зайти
на http://globessl.com, то это серфтикат появится и после этого
https://arjlover.net начинает работать.


> Антон.
> 
> 2009/8/21 Igor Sysoev <is@xxxxxxxxxxxxx>
> 
> > On Fri, Aug 21, 2009 at 09:27:44PM +0400, Igor Sysoev wrote:
> >
> > > On Fri, Aug 21, 2009 at 06:45:23PM +0200, Anton Kuznetsov wrote:
> > >
> > > > В первый раз ставлю честный купленный сертификат, в большом недоумении
> > от
> > > > результатов.
> > > >
> > > > Купил первый на пробу от globessl.com
> > > > поставил на хомяка https://arjlover.net - почти везде работает, хотя у
> > меня
> > > > на работе не проходит в любом броузере.
> > > >
> > > > Сделал по инструкции от globe:
> > > > #openssl req -nodes -newkey rsa:2048 -keyout myserver.key -out
> > server.csr
> > > >
> > > > в конфиг nginx написал так:
> > > >
> > > > ssl                     on;
> > > > ssl_protocols           SSLv3 TLSv1;
> > > > ssl_certificate      /usr/local/etc/nginx/ssl/arjlover_net.crt;
> > > > ssl_certificate_key  /usr/local/etc/nginx/ssl/myserver.key;
> > > >
> > > > Ну вроде завелось...  nginx version: nginx/0.8.5 FreeBSD 6.3
> > > >
> > > > ===============
> > > > Теперь делаю для апликухи
> > > > https://app.inntelligenz.com/sign
> > > > Все аналогично, купить решил у godaddy.com, сделал сертификаты, те же
> > > > строчки в nginx и... не работает!!! Хотя вчера вечером дома у меня одна
> > > > страница открылась с валидным сертификатом и так и закэшировалась.
> > Остальные
> > > > урлы ругаются. Смех! nginx version: nginx/0.8.6 Ubuntu
> > > > Что делать, куда копать?
> > > >
> > > > Еще один побочный вопрос - что это за файл gd_bundle.crt? Прописывается
> > в
> > > > апач строчкой
> > > > SSLCertificateChainFile /ssl/gd_bundle.crt
> > > > Почему аналогичной строчки нет у nginx?
> > > > Если я все это поднимаю на апаче вот так:
> > > > SSLCertificateFile /ssl/app.inntelligenz.com.crt
> > > > SSLCertificateKeyFile /ssl/myserver.key
> > > > SSLCertificateChainFile /ssl/gd_bundle.crt
> > > >
> > > > То верификация работает!!! Но надо на nginx...
> > >
> > > gd_bundle.crt - это не побочный вопрос, а основной. Нужно сделать так:
> > > cat app.inntelligenz.com.crt gd_bundle.crt > app.inntelligenz.com.full
> > >
> > > и использовать получённую цепочку сертификатов:
> > > ssl_certificate      /usr/local/etc/nginx/ssl/app.inntelligenz.com.full
> > >
> > > То же самое нужно повторить с globessl.com - добавить их промежуточные
> > > сертификаты к основному. Тогда должно работать со всеми браузерами.
> >
> > Вот тут берутся промежуточные сертификаты globessl.com:
> >
> > http://customer.globessl.com/knowledgebase/48/GlobeSSL_CA_Root_and_Intermediate_Certificates.html
> >
> >
> > --
> > Игорь Сысоев
> > http://sysoev.ru
> >
> >

-- 
Игорь Сысоев
http://sysoev.ru



 




Copyright © Lexa Software, 1996-2009.