Ssl
來自 register.com 的 nginx /w 星 ssl 證書
我在使用 nginx 和我來自 register.com 的證書時遇到了一些奇怪的 ssl 問題。大多數瀏覽器都可以使用它,但有些瀏覽器無法驗證證書。我想驗證我的設置是否正確。
當我從 register.com 獲得萬用字元 ssl 證書時,他們向我發送了這些文件:
AddTrushExternalCARoot.crt RegistercomSSLServiceCAOV.crt STAR_mydomain_net.crt UTNAddTrushServer_CA.crt
我也有我生成的私鑰文件。我像這樣配置了nginx:
ssl_certificate /etc/ssl/ca-bundle.crt; ssl_certificate_key /etc/ssl/mydomain.key;
/etc/ssl/ca-bundle.crt 只是 register.com 給我的所有文件連接在一起。
這聽起來對嗎?
謝謝
至於您的串聯,RFC 5246 指出:
發件人的證書必須排在列表的首位。後面的每個證書必須直接證明它前面的證書。因為證書驗證需要獨立分髮根密鑰,所以可以選擇從鏈中省略指定根證書頒發機構的自簽名證書,假設遠端端必須已經擁有它才能在任何情況下驗證它。
因此,您需要做的是以正確的方式訂購 cert-bundle:伺服器證書在頂部,直到最接近根證書的證書。大多數 SSL 實現似乎都修復了錯誤的順序,無論是在客戶端還是伺服器端,但我已經遇到了一個邊緣情況,也許你也遇到了。
我不知道這樣的連結在這裡是否可以接受,但我已經在較早的部落格條目中概述了該過程(即使對於您擁有的類似鏈):處理冗長的 SSL 證書鏈