Траблы с ssl сертификатом

Igor Sysoev is at rambler-co.ru
Fri Aug 21 22:11:04 MSD 2009 

On Fri, Aug 21, 2009 at 09:27:44PM +0400, Igor Sysoev wrote:

> On Fri, Aug 21, 2009 at 06:45:23PM +0200, Anton Kuznetsov wrote:
> 
> > В первый раз ставлю честный купленный сертификат, в большом недоумении от
> > результатов.
> > 
> > Купил первый на пробу от globessl.com
> > поставил на хомяка https://arjlover.net - почти везде работает, хотя у меня
> > на работе не проходит в любом броузере.
> > 
> > Сделал по инструкции от globe:
> > #openssl req -nodes -newkey rsa:2048 -keyout myserver.key -out server.csr
> > 
> > в конфиг nginx написал так:
> > 
> > ssl                     on;
> > ssl_protocols           SSLv3 TLSv1;
> > ssl_certificate      /usr/local/etc/nginx/ssl/arjlover_net.crt;
> > ssl_certificate_key  /usr/local/etc/nginx/ssl/myserver.key;
> > 
> > Ну вроде завелось...  nginx version: nginx/0.8.5 FreeBSD 6.3
> > 
> > ===============
> > Теперь делаю для апликухи
> > https://app.inntelligenz.com/sign
> > Все аналогично, купить решил у godaddy.com, сделал сертификаты, те же
> > строчки в nginx и... не работает!!! Хотя вчера вечером дома у меня одна
> > страница открылась с валидным сертификатом и так и закэшировалась. Остальные
> > урлы ругаются. Смех! nginx version: nginx/0.8.6 Ubuntu
> > Что делать, куда копать?
> > 
> > Еще один побочный вопрос - что это за файл gd_bundle.crt? Прописывается в
> > апач строчкой
> > SSLCertificateChainFile /ssl/gd_bundle.crt
> > Почему аналогичной строчки нет у nginx?
> > Если я все это поднимаю на апаче вот так:
> > SSLCertificateFile /ssl/app.inntelligenz.com.crt
> > SSLCertificateKeyFile /ssl/myserver.key
> > SSLCertificateChainFile /ssl/gd_bundle.crt
> > 
> > То верификация работает!!! Но надо на nginx...
> 
> gd_bundle.crt - это не побочный вопрос, а основной. Нужно сделать так:
> cat app.inntelligenz.com.crt gd_bundle.crt > app.inntelligenz.com.full
> 
> и использовать получённую цепочку сертификатов:
> ssl_certificate      /usr/local/etc/nginx/ssl/app.inntelligenz.com.full
> 
> То же самое нужно повторить с globessl.com - добавить их промежуточные
> сертификаты к основному. Тогда должно работать со всеми браузерами.

Вот тут берутся промежуточные сертификаты globessl.com:
http://customer.globessl.com/knowledgebase/48/GlobeSSL_CA_Root_and_Intermediate_Certificates.html


-- 
Игорь Сысоев
http://sysoev.ru

More information about the nginx-ru mailing list