<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Nov 14, 2022 at 10:34 PM Lukas Tribus <<a href="mailto:lukas@ltri.eu">lukas@ltri.eu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, 14 Nov 2022 at 22:56, James Read <<a href="mailto:jamesread5737@gmail.com" target="_blank">jamesread5737@gmail.com</a>> wrote:<br>
>> So the file needs to contain first your certificate and then the<br>
>> intermediate one.<br>
><br>
><br>
> OK. Thanks. I rearranged the file and deleted some certificates. Now sslabs is reporting no chain issues for Certificate #1: RSA 2048 bits (SHA256withRSA)<br>
<br>
Correct, a TLS session negotiated with SNI <a href="http://us.wottot.com" rel="noreferrer" target="_blank">us.wottot.com</a> is now<br>
correctly showing the intermediate certificate.<br>
You are not sending the root certificate here, which is also<br>
completely correct at this point.<br>
<br>
The previous poster is confused by the openssl output, which actually<br>
shows a correctly configured server (for the particular SNI value<br>
<a href="http://us.wottot.com" rel="noreferrer" target="_blank">us.wottot.com</a>).<br>
<br>
So all browsers and mobile devices should be able to connect to<br>
<a href="http://us.wottot.com" rel="noreferrer" target="_blank">us.wottot.com</a> now.<br>
<br>
<br>
> but for Certificate #2: RSA 2048 bits (SHA256withRSA) it is reporting<br>
> Chain issues Incomplete, Extra certs, Contains anchor<br>
<br>
This is a fallback for clients not matching <a href="http://us.wottot.com" rel="noreferrer" target="_blank">us.wottot.com</a>.<br>
<br>
You probably have a "default" ssl server in your configuration that is<br>
still pointing to a path that you did not cleanup. You should only<br>
define this certificate once in your nginx configurations, not<br>
multiple times in different server blocks.<br>
<br>
<br></blockquote><div><br></div><div>Thanks for clarifying things. I have a single default file. Here are the contents:</div><div><br></div><div>cat /etc/nginx/sites-available/default <br>##<br># You should look at the following URL's in order to grasp a solid understanding<br># of Nginx configuration files in order to fully unleash the power of Nginx.<br># <a href="https://www.nginx.com/resources/wiki/start/">https://www.nginx.com/resources/wiki/start/</a><br># <a href="https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/">https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/</a><br># <a href="https://wiki.debian.org/Nginx/DirectoryStructure">https://wiki.debian.org/Nginx/DirectoryStructure</a><br>#<br># In most cases, administrators will remove this file from sites-enabled/ and<br># leave it as reference inside of sites-available where it will continue to be<br># updated by the nginx packaging team.<br>#<br># This file will automatically load configuration files provided by other<br># applications, such as Drupal or Wordpress. These applications will be made<br># available underneath a path with that package name, such as /drupal8.<br>#<br># Please see /usr/share/doc/nginx-doc/examples/ for more detailed examples.<br>##<br><br># Default server configuration<br>#<br>server {<br> listen 80 default_server;<br>     listen [::]:80 default_server;<br><br>      # SSL configuration<br>   #<br>     # listen 443 ssl default_server;<br>      # listen [::]:443 ssl default_server;<br> #<br>     # Note: You should disable gzip for SSL traffic.<br>      # See: <a href="https://bugs.debian.org/773332">https://bugs.debian.org/773332</a><br>      #<br>     # Read up on ssl_ciphers to ensure a secure configuration.<br>    # See: <a href="https://bugs.debian.org/765782">https://bugs.debian.org/765782</a><br>      #<br>     # Self signed certs generated by the ssl-cert package<br> # Don't use them in a production server!<br>  #<br>     # include snippets/snakeoil.conf;<br><br>   root /var/www/html;<br><br> # Add index.php to the list if you are using PHP<br>      index index.html index.htm index.nginx-debian.html;<br><br> server_name _;<br><br>      location / {<br>          # First attempt to serve request as file, then<br>                # as directory, then fall back to displaying a 404.<br>           try_files $uri $uri/ =404;<br>    }<br><br>   # pass PHP scripts to FastCGI server<br>  #<br>     #location ~ \.php$ {<br>  #       include snippets/fastcgi-php.conf;<br>    #<br>     #       # With php-fpm (or other unix sockets):<br>       #       fastcgi_pass unix:/var/run/php/php7.4-fpm.sock;<br>       #       # With php-cgi (or other tcp sockets):<br>        #       fastcgi_pass <a href="http://127.0.0.1:9000">127.0.0.1:9000</a>;<br>        #}<br><br>  # deny access to .htaccess files, if Apache's document root<br>       # concurs with nginx's one<br>        #<br>     #location ~ /\.ht {<br>   #       deny all;<br>     #}<br>}<br><br><br># Virtual Host configuration for <a href="http://example.com">example.com</a><br>#<br># You can move that to a different file under sites-available/ and symlink that<br># to sites-enabled/ to enable it.<br>#<br>#server {<br>#  listen 80;<br>#   listen [::]:80;<br>#<br>#   server_name <a href="http://example.com">example.com</a>;<br>#<br>#   root /var/www/<a href="http://example.com">example.com</a>;<br>#    index index.html;<br>#<br># location / {<br>#         try_files $uri $uri/ =404;<br>#   }<br>#}<br></div><div> </div><div>Is there a problem with configuration?</div><div><br></div><div>James Read</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Lukas<br>
_______________________________________________<br>
nginx mailing list -- <a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br>
To unsubscribe send an email to <a href="mailto:nginx-leave@nginx.org" target="_blank">nginx-leave@nginx.org</a><br>
</blockquote></div></div>