Траблы с ssl сертификатом
Igor Sysoev
is at rambler-co.ru
Fri Aug 21 21:27:44 MSD 2009
On Fri, Aug 21, 2009 at 06:45:23PM +0200, Anton Kuznetsov wrote:
> В первый раз ставлю честный купленный сертификат, в большом недоумении от
> результатов.
>
> Купил первый на пробу от globessl.com
> поставил на хомяка https://arjlover.net - почти везде работает, хотя у меня
> на работе не проходит в любом броузере.
>
> Сделал по инструкции от globe:
> #openssl req -nodes -newkey rsa:2048 -keyout myserver.key -out server.csr
>
> в конфиг nginx написал так:
>
> ssl on;
> ssl_protocols SSLv3 TLSv1;
> ssl_certificate /usr/local/etc/nginx/ssl/arjlover_net.crt;
> ssl_certificate_key /usr/local/etc/nginx/ssl/myserver.key;
>
> Ну вроде завелось... nginx version: nginx/0.8.5 FreeBSD 6.3
>
> ===============
> Теперь делаю для апликухи
> https://app.inntelligenz.com/sign
> Все аналогично, купить решил у godaddy.com, сделал сертификаты, те же
> строчки в nginx и... не работает!!! Хотя вчера вечером дома у меня одна
> страница открылась с валидным сертификатом и так и закэшировалась. Остальные
> урлы ругаются. Смех! nginx version: nginx/0.8.6 Ubuntu
> Что делать, куда копать?
>
> Еще один побочный вопрос - что это за файл gd_bundle.crt? Прописывается в
> апач строчкой
> SSLCertificateChainFile /ssl/gd_bundle.crt
> Почему аналогичной строчки нет у nginx?
> Если я все это поднимаю на апаче вот так:
> SSLCertificateFile /ssl/app.inntelligenz.com.crt
> SSLCertificateKeyFile /ssl/myserver.key
> SSLCertificateChainFile /ssl/gd_bundle.crt
>
> То верификация работает!!! Но надо на nginx...
gd_bundle.crt - это не побочный вопрос, а основной. Нужно сделать так:
cat app.inntelligenz.com.crt gd_bundle.crt > app.inntelligenz.com.full
и использовать получённую цепочку сертификатов:
ssl_certificate /usr/local/etc/nginx/ssl/app.inntelligenz.com.full
То же самое нужно повторить с globessl.com - добавить их промежуточные
сертификаты к основному. Тогда должно работать со всеми браузерами.
> P.S. У меня закрадывается подозрения что кое какие ОС/браузеры без понятия
> об этих новых центрах сертификации, и это хоть и 10 долларов, но это 10
> выброшенных долларов. :) А покупать надо по прежнему у twatwe за 150... :(
Нет, дело в том, что некоторые промежуточные серктификаты браузер мог
получить раньше, сохранил их, и уже им доверяет. Можно запустить
"firebox -P", создать чистый профайл и убедиться, что firefox с
таким профайлом не работает с обоими сертификатами в их текущим состоянии.
--
Игорь Сысоев
http://sysoev.ru
More information about the nginx-ru
mailing list