7 votes

user182936 avatar

Erreur Openssl 19 : "Certificat auto-signé dans la chaîne de certificats" lorsque la clé est fournie par GoDaddy.

Demandé el 24 de Juillet, 2013
Quand la question a-t-elle été
21934 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Quelqu'un peut-il m'aider à comprendre comment vérifier que mon certificat SSL est correctement installé (ou à déterminer pourquoi il ne l'est pas) ?

J'ai installé le certificat SSL de GoDaddy sur mon serveur Apache. Certains utilisateurs signalent encore des problèmes (certaines versions d'IE disent "This page cannot be displayed" sans autre explication), et openssl dit qu'il y a un certificat "auto-signé" dans la chaîne. Veuillez noter que c'est pas un certificat auto-signé . Il est signé par GoDaddy. Cet article a une réponse connexe qui n'a pas fonctionné : https://stackoverflow.com/a/4106224/1723405

Voici les mesures que j'ai prises :

Étape 1 : Générer une clé privée

openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key

Étape 2 : Allez sur GoDaddy et recomposez la clé en collant CSR.csr .

Etape 3 : Installez le fichier crt et bundle dans Apache et redémarrez.

// In <VirtualHost>
SSLEngine on
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
SSLVerifyClient none
SSLCertificateFile      /path/to/allthingsinsurance.net.crt
SSLCertificateKeyFile   /path/to/privateKey.key
SSLCertificateChainFile /path/to/gd_bundle-g2.cr

% apachectl restart

Étape 4 : Allez à l'une de plusieurs machines et échouez à vérifier en utilisant openssl.

% openssl s_client -connect allthingsinsurance.net:443 -showcerts -CApath /etc/ssl/certs

...lots of output, shows certs I installed...
Verify return code: 19 (self signed certificate in certificate chain)

Étape 5 : Allez sur les services de validation SSL en ligne et recevez des rapports mitigés :

  • whynopadlock.com : erreur auto-signée
  • ssltest.net : erreur auto-signée
  • ssllabs.com : ok
  • crossbrowsertesting.com : erreur similaire
Demandé el 24 de Juillet, 2013 par user182936

0 votes

Avatar de Ankit Kumar Gupta

Comment avez-vous résolu ce problème ? J'ai exactement le même problème en ce moment et je ne sais pas quoi faire.

Commenté el 22 de Juin, 2015 par Ankit Kumar Gupta

Réponse

Trop de publicités?

4voto

Lekensteyn avatar
Lekensteyn Points 5981

Si whynopadlock.com et ssltest.net se plaignent du certificat alors que ssllabs.com dit que tout va bien, vérifiez la configuration de vos hôtes virtuels. SSLLabs.com prend en charge SNI alors que whynopadlock.com, ssltest.net et les anciennes versions d'IE ne le font pas.

Lorsque SNI n'est pas pris en charge par le client, aucun nom de serveur n'est disponible pour le serveur web qui se rabat alors sur le premier serveur virtuel correspondant. Vous disposez peut-être d'un autre serveur virtuel à des fins de test qui a la priorité sur votre site Web principal.

La solution consiste à modifier cet ordre ou à utiliser une adresse IP dédiée pour cet hôte.

Répondu el 26 de Juillet, 2013 par Lekensteyn (5981 Points )

0 votes

Avatar de Lekensteyn

A part ça, votre domaine semble fonctionner maintenant.

Commenté el 26 de Juillet, 2013 par Lekensteyn

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X