SSL ISPConfig3 i problem z urządzeniami mobilnymi

[tomixxo 0]

Witam,
mam problem z poprawnym zainstalowaniem certyfikatu ssl poprzez panel ispconfig3 tak aby łańcuch certyfikatów był poprawnie odczytywany w urządzeniach mobilnych (np. android –przeglądarka chrome).
Napiszę może co mam i co wiem i proszę o poprawkę mojego toku myśleniaJ
kupiłem usługę homessl – czyli certyfikat jest podpisany przyz AlphaSSL
(wystawione i podpisane w 2015)

mam teraz takie pliki - .csr .key . cert - pobrane z panelu home.pl

teraz dodatkowo z strony http://www.alphassl.com/support/install-root-certificate.html
pobrałem certyfikat oznaczony jako (pierwszy od góry)
SHA-256 - Orders March 31, 2014 and After
AlphaSSL SHA-256 R1 Intermediate Certificates
AlphaSSL CA - SHA256 - G2
SHA256 - RSA - 2048
Valid until: 20 February 2024

i z strony (też pierwszy zgodnie z tabelką)
https://support.globalsign.com/customer/portal/articles/1426602-globalsign-root-certificates
GlobalSign Root R1
SHA1 • RSA • 2048
Valid until: 28 January 2028
Serial #: 04:00:00:00:00:01:15:4b:5a:c3:94
Thumbprint: b1:bc:96:8b:d4:f4:9d:62:2a:a8:9a:81:f2:15:01:52:a4:1d:82:9c

ok teraz dodaje w panelu ispconfig3 tak jak w załączniku 1 (tak może będzie lepiej ukazane)

Po takiej konfiguracji przeglądarki w kompach nie wyświetlają planszy o błędnym kluczu ale mobilne niestety tak

Starałem się znaleźć problem, przebrnąłem przez wiele stron ale w skrócie wszędzie jest o tym, że łańcuch klucza jest niepoprawny. Ok to wiem ale jak zrobić aby był poprawny? J

Komendą w konsoli

openssl s_client -CApath /var/www/clients/client1/web1/ssl -connect domena.pl:443

CONNECTED(00000003)
depth=0 OU = Domain Control Validated, CN = www.domena.pl
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 OU = Domain Control Validated, CN = www.domena.pl
verify error:num=27:certificate not trusted
verify return:1
depth=0 OU = Domain Control Validated, CN = www.domena.pl
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/OU=Domain Control Validated/CN=www.domena.pl
i:/O=AlphaSSL/CN=AlphaSSL CA - G2
---
Server certificate
-----BEGIN CERTIFICATE-----
certyfikat .crt
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=www.domena.pl
issuer=/O=AlphaSSL/CN=AlphaSSL CA - G2
---
No client certificate CA names sent
---
SSL handshake has read 2411 bytes and written 434 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 3123….ciach
Session-ID-ctx:
Master-Key: BB3C…ciach
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
…. skrócę kod ….

Start Time: 1425555734
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
closed

w pliku /etc/apache2/site-enables/100-domena.pl.vhost
mam
….
SSLCertificateFile /var/www/clients/client1/web1/ssl/domena.pl.crt
SSLCertificateKeyFile /var/www/clients/client1/web1/ssl/domena.pl.key
SSLCACertificateFile /var/www/clients/client1/web1/ssl/domena.pl.bundle
….

Jak to zmodyfikować aby było dobrze?

[bybunny 540]

A że tak zapytam, od kogo masz certyfikat?

 

https://pomoc.home.pl/baza-wiedzy/gdzie-znajde-ca-certyfikaty-posrednie-dla-zakupionych-w-home-pl-certyfikatow-ssl/

Edytowano Marzec 5, 2015 przez SiXwishlist (zobacz historię edycji)

[przemon 35]

podaj nazwę domeny to się sprawdzi a nie takie ukrywanie

[Gość nrm]

 

 

Po takiej konfiguracji przeglądarki w kompach nie wyświetlają planszy o błędnym kluczu ale mobilne niestety tak

 

Nie masz tego czasem robionego na SNI? Wtedy by właśnie był taki objaw (ale na starych telefonach).

[Syndrom 95]

Brakuje certyfikatów pośredniczących

[tomixxo 0]

Pytanie zadałem ponieważ chciałem się upewnić, że nie popełniam błędu z sklejaniem certyfikatu i może ktoś na szybko coś wypatrzy:)

 

SiXwishlist no w zasadzie powinienem zacząć od molestowania home.pl

na tej stronie owszem jest certfikat pośredniczący home_CA.pe ale to jest właśnie AlphaSSl CA

(taki myk home.pl)

 

przemon - narazie niemogę nie pytaj dlaczego

 

nrm - zapoznam się z tematem ale nigdzie w logach tego nie wykryłem

 

Syndrom - no właśnie tu jest sedno sprawy. Wiem, że brakuje bo to widać w tym logu co podałem.

Problem jest taki, że prubuję dodać te certyfikaty przez panel i mi nie wychodzi.

 

prawidłowa ścieżka jest taka

GlobalSign Root CA

AlphaSSl CA

domena.pl

 

certyfikaty global i alpha podałem aby nie było wątpliwości, że prawidłowe ale nie wiem dokładnie co i jak mam wkleić i poskładać.

Jak ktoś wklejał to przez ten panel i mu chodzi wszystko prawidłowo to prośba aby mnie upewnić, że wklejam to prawidłowo.

Zacznę wtedy grzebać dalej

 

nrm - tak właśnie sprawdziłem - w panelu ustawienia serwera - konfiruracja SSL mam

włącz SNI aktywowane

CA Path - puste

CA passphrase - puste

 

mam to jakoś zmienić? - jeszcze nie zdążyłem poczytać na ten temat - dopiero wieczorem dam radę

Edytowano Marzec 5, 2015 przez tomixxo (zobacz historię edycji)

[Syndrom 95]

Pokazał byś domenę wtedy by było wszystko jasne, wg mnie wklejasz złe pośredniczące certyfkaty

[tomixxo 0]

ok rozwiązałem problem

 

Syndrom - zmobilizowałeś mnie do sprawdzenia kolejny raz certyfikatów pośredniczających i popełniłem błąd.

Próbowałem dać certyfikat sha-256 a się okazało, że potrzebuję Sha-1 AlphaSLL i poszło (potpatrzyłem w przeglądarce ).

 

Wiem już teraz, że popełniłem błąd przy generowaniu csr ale certyfikat kupiłem za 12 zł więc możliwe, że go wymienię jak chrome będzie miało wątpliwości Może ten rok jeszcze wytrzyma

 

Bardzo dziękuję za zainteresowanie i pomoc z wyżej wymienionym problemem.