Re: Траблы с ssl сертификатом

Sat Aug 22 05:23:31 MSD 2009

Ну с порядком сложно ошибиться. К основному я приклеил промежуточные. Их там
три.
Обе конторы свои промежуточные конечно присылают вместе с основным - это не
проблема.
С глобе все работает. Интересно что делать с godaddy? Вроде как на апаче
работает, где промежуточные прописываешь отдельной строчкой, в чем трабла на
nginx?
Сейчас, когда он работает со склееными сертификатами в один файл, то wget
ругается на них так:

$wget "https://app.inntelligenz.com/sign"
--2009-08-22 05:22:19--  https://app.inntelligenz.com/sign
Распознаётся app.inntelligenz.com... 174.129.210.211
Устанавливается соединение с app.inntelligenz.com|174.129.210.211|:443...
соединение установлено.
ОШИБКА: невозможно проверить сертификат app.inntelligenz.com, запрошенный
`/C=US
/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=
http://certificates.godaddy.com/
repository/CN=Go Daddy Secure Certification
Authority/serialNumber=07969287':
  Обнаружен самостоятельно подписанный сертификат.

Как-то странно все это...

Антон.

2009/8/21 Igor Sysoev <is at rambler-co.ru>

> On Fri, Aug 21, 2009 at 09:27:44PM +0400, Igor Sysoev wrote:
>
> > On Fri, Aug 21, 2009 at 06:45:23PM +0200, Anton Kuznetsov wrote:
> >
> > > В первый раз ставлю честный купленный сертификат, в большом недоумении
> от
> > > результатов.
> > >
> > > Купил первый на пробу от globessl.com
> > > поставил на хомяка https://arjlover.net - почти везде работает, хотя у
> меня
> > > на работе не проходит в любом броузере.
> > >
> > > Сделал по инструкции от globe:
> > > #openssl req -nodes -newkey rsa:2048 -keyout myserver.key -out
> server.csr
> > >
> > > в конфиг nginx написал так:
> > >
> > > ssl                     on;
> > > ssl_protocols           SSLv3 TLSv1;
> > > ssl_certificate      /usr/local/etc/nginx/ssl/arjlover_net.crt;
> > > ssl_certificate_key  /usr/local/etc/nginx/ssl/myserver.key;
> > >
> > > Ну вроде завелось...  nginx version: nginx/0.8.5 FreeBSD 6.3
> > >
> > > ===============
> > > Теперь делаю для апликухи
> > > https://app.inntelligenz.com/sign
> > > Все аналогично, купить решил у godaddy.com, сделал сертификаты, те же
> > > строчки в nginx и... не работает!!! Хотя вчера вечером дома у меня одна
> > > страница открылась с валидным сертификатом и так и закэшировалась.
> Остальные
> > > урлы ругаются. Смех! nginx version: nginx/0.8.6 Ubuntu
> > > Что делать, куда копать?
> > >
> > > Еще один побочный вопрос - что это за файл gd_bundle.crt? Прописывается
> в
> > > апач строчкой
> > > SSLCertificateChainFile /ssl/gd_bundle.crt
> > > Почему аналогичной строчки нет у nginx?
> > > Если я все это поднимаю на апаче вот так:
> > > SSLCertificateFile /ssl/app.inntelligenz.com.crt
> > > SSLCertificateKeyFile /ssl/myserver.key
> > > SSLCertificateChainFile /ssl/gd_bundle.crt
> > >
> > > То верификация работает!!! Но надо на nginx...
> >
> > gd_bundle.crt - это не побочный вопрос, а основной. Нужно сделать так:
> > cat app.inntelligenz.com.crt gd_bundle.crt > app.inntelligenz.com.full
> >
> > и использовать получённую цепочку сертификатов:
> > ssl_certificate      /usr/local/etc/nginx/ssl/app.inntelligenz.com.full
> >
> > То же самое нужно повторить с globessl.com - добавить их промежуточные
> > сертификаты к основному. Тогда должно работать со всеми браузерами.
>
> Вот тут берутся промежуточные сертификаты globessl.com:
>
> http://customer.globessl.com/knowledgebase/48/GlobeSSL_CA_Root_and_Intermediate_Certificates.html
>
>
> --
> Игорь Сысоев
> http://sysoev.ru
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20090822/161b0410/attachment.html>