Траблы с ssl сертификатом

Igor Sysoev is at rambler-co.ru
Fri Aug 21 21:27:44 MSD 2009


On Fri, Aug 21, 2009 at 06:45:23PM +0200, Anton Kuznetsov wrote:

> В первый раз ставлю честный купленный сертификат, в большом недоумении от
> результатов.
> 
> Купил первый на пробу от globessl.com
> поставил на хомяка https://arjlover.net - почти везде работает, хотя у меня
> на работе не проходит в любом броузере.
> 
> Сделал по инструкции от globe:
> #openssl req -nodes -newkey rsa:2048 -keyout myserver.key -out server.csr
> 
> в конфиг nginx написал так:
> 
> ssl                     on;
> ssl_protocols           SSLv3 TLSv1;
> ssl_certificate      /usr/local/etc/nginx/ssl/arjlover_net.crt;
> ssl_certificate_key  /usr/local/etc/nginx/ssl/myserver.key;
> 
> Ну вроде завелось...  nginx version: nginx/0.8.5 FreeBSD 6.3
> 
> ===============
> Теперь делаю для апликухи
> https://app.inntelligenz.com/sign
> Все аналогично, купить решил у godaddy.com, сделал сертификаты, те же
> строчки в nginx и... не работает!!! Хотя вчера вечером дома у меня одна
> страница открылась с валидным сертификатом и так и закэшировалась. Остальные
> урлы ругаются. Смех! nginx version: nginx/0.8.6 Ubuntu
> Что делать, куда копать?
> 
> Еще один побочный вопрос - что это за файл gd_bundle.crt? Прописывается в
> апач строчкой
> SSLCertificateChainFile /ssl/gd_bundle.crt
> Почему аналогичной строчки нет у nginx?
> Если я все это поднимаю на апаче вот так:
> SSLCertificateFile /ssl/app.inntelligenz.com.crt
> SSLCertificateKeyFile /ssl/myserver.key
> SSLCertificateChainFile /ssl/gd_bundle.crt
> 
> То верификация работает!!! Но надо на nginx...

gd_bundle.crt - это не побочный вопрос, а основной. Нужно сделать так:
cat app.inntelligenz.com.crt gd_bundle.crt > app.inntelligenz.com.full

и использовать получённую цепочку сертификатов:
ssl_certificate      /usr/local/etc/nginx/ssl/app.inntelligenz.com.full

То же самое нужно повторить с globessl.com - добавить их промежуточные
сертификаты к основному. Тогда должно работать со всеми браузерами.

> P.S. У меня закрадывается подозрения что кое какие ОС/браузеры без понятия
> об этих новых центрах сертификации, и это хоть и 10 долларов, но это 10
> выброшенных долларов. :) А покупать надо по прежнему у twatwe за 150... :(

Нет, дело в том, что некоторые промежуточные серктификаты браузер мог
получить раньше, сохранил их, и уже им доверяет. Можно запустить
"firebox -P", создать чистый профайл и убедиться, что firefox с
таким профайлом не работает с обоими сертификатами в их текущим состоянии.


-- 
Игорь Сысоев
http://sysoev.ru





More information about the nginx-ru mailing list