Skocz do zawartości
tomixxo

SSL ISPConfig3 i problem z urządzeniami mobilnymi

Polecane posty

Witam,
mam problem z poprawnym zainstalowaniem certyfikatu ssl poprzez panel ispconfig3 tak aby łańcuch certyfikatów był poprawnie odczytywany w urządzeniach mobilnych (np. android –przeglądarka chrome).
Napiszę może co mam i co wiem i proszę o poprawkę mojego toku myśleniaJ
kupiłem usługę homessl – czyli certyfikat jest podpisany przyz AlphaSSL
(wystawione i podpisane w 2015)

mam teraz takie pliki - .csr .key . cert - pobrane z panelu home.pl

teraz dodatkowo z strony http://www.alphassl.com/support/install-root-certificate.html
pobrałem certyfikat oznaczony jako (pierwszy od góry)
SHA-256 - Orders March 31, 2014 and After
AlphaSSL SHA-256 R1 Intermediate Certificates
AlphaSSL CA - SHA256 - G2
SHA256 - RSA - 2048
Valid until: 20 February 2024

i z strony (też pierwszy zgodnie z tabelką)
https://support.globalsign.com/customer/portal/articles/1426602-globalsign-root-certificates
GlobalSign Root R1
SHA1 • RSA • 2048
Valid until: 28 January 2028
Serial #: 04:00:00:00:00:01:15:4b:5a:c3:94
Thumbprint: b1:bc:96:8b:d4:f4:9d:62:2a:a8:9a:81:f2:15:01:52:a4:1d:82:9c

ok teraz dodaje w panelu ispconfig3 tak jak w załączniku 1 (tak może będzie lepiej ukazane)

Po takiej konfiguracji przeglądarki w kompach nie wyświetlają planszy o błędnym kluczu ale mobilne niestety tak

Starałem się znaleźć problem, przebrnąłem przez wiele stron ale w skrócie wszędzie jest o tym, że łańcuch klucza jest niepoprawny. Ok to wiem ale jak zrobić aby był poprawny? J

Komendą w konsoli

openssl s_client -CApath /var/www/clients/client1/web1/ssl -connect domena.pl:443

CONNECTED(00000003)
depth=0 OU = Domain Control Validated, CN = www.domena.pl
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 OU = Domain Control Validated, CN = www.domena.pl
verify error:num=27:certificate not trusted
verify return:1
depth=0 OU = Domain Control Validated, CN = www.domena.pl
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/OU=Domain Control Validated/CN=www.domena.pl
i:/O=AlphaSSL/CN=AlphaSSL CA - G2
---
Server certificate
-----BEGIN CERTIFICATE-----
certyfikat .crt
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=www.domena.pl
issuer=/O=AlphaSSL/CN=AlphaSSL CA - G2
---
No client certificate CA names sent
---
SSL handshake has read 2411 bytes and written 434 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 3123….ciach
Session-ID-ctx:
Master-Key: BB3C…ciach
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
…. skrócę kod ….

Start Time: 1425555734
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
closed

w pliku /etc/apache2/site-enables/100-domena.pl.vhost
mam
….
SSLCertificateFile /var/www/clients/client1/web1/ssl/domena.pl.crt
SSLCertificateKeyFile /var/www/clients/client1/web1/ssl/domena.pl.key
SSLCACertificateFile /var/www/clients/client1/web1/ssl/domena.pl.bundle
….

Jak to zmodyfikować aby było dobrze?

post-34030-0-56337400-1425554162_thumb.jpg

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

podaj nazwę domeny to się sprawdzi a nie takie ukrywanie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość nrm

 

 

Po takiej konfiguracji przeglądarki w kompach nie wyświetlają planszy o błędnym kluczu ale mobilne niestety tak

 

Nie masz tego czasem robionego na SNI? Wtedy by właśnie był taki objaw (ale na starych telefonach).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pytanie zadałem ponieważ chciałem się upewnić, że nie popełniam błędu z sklejaniem certyfikatu i może ktoś na szybko coś wypatrzy:)

 

SiXwishlist no w zasadzie powinienem zacząć od molestowania home.pl :)

na tej stronie owszem jest certfikat pośredniczący home_CA.pe ale to jest właśnie AlphaSSl CA

(taki myk home.pl)

 

przemon - narazie niemogę :) nie pytaj dlaczego

 

nrm - zapoznam się z tematem ale nigdzie w logach tego nie wykryłem

 

Syndrom - no właśnie tu jest sedno sprawy. Wiem, że brakuje bo to widać w tym logu co podałem.

Problem jest taki, że prubuję dodać te certyfikaty przez panel i mi nie wychodzi.

 

prawidłowa ścieżka jest taka

GlobalSign Root CA

AlphaSSl CA

domena.pl

 

certyfikaty global i alpha podałem aby nie było wątpliwości, że prawidłowe ale nie wiem dokładnie co i jak mam wkleić i poskładać.

Jak ktoś wklejał to przez ten panel i mu chodzi wszystko prawidłowo to prośba aby mnie upewnić, że wklejam to prawidłowo.

Zacznę wtedy grzebać dalej :)

 


nrm - tak właśnie sprawdziłem - w panelu ustawienia serwera - konfiruracja SSL mam

włącz SNI aktywowane

CA Path - puste

CA passphrase - puste

 

mam to jakoś zmienić? - jeszcze nie zdążyłem poczytać na ten temat - dopiero wieczorem dam radę

Edytowano przez tomixxo (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ok rozwiązałem problem :)

 

Syndrom - zmobilizowałeś mnie do sprawdzenia kolejny raz certyfikatów pośredniczających i popełniłem błąd.

Próbowałem dać certyfikat sha-256 a się okazało, że potrzebuję Sha-1 AlphaSLL i poszło (potpatrzyłem w przeglądarce :) ).

 

Wiem już teraz, że popełniłem błąd przy generowaniu csr ale certyfikat kupiłem za 12 zł :) więc możliwe, że go wymienię jak chrome będzie miało wątpliwości :) Może ten rok jeszcze wytrzyma :)

 

Bardzo dziękuję za zainteresowanie i pomoc z wyżej wymienionym problemem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×