7 votes

Erreur Openssl 19 : "Certificat auto-signé dans la chaîne de certificats" lorsque la clé est fournie par GoDaddy.

Quelqu'un peut-il m'aider à comprendre comment vérifier que mon certificat SSL est correctement installé (ou à déterminer pourquoi il ne l'est pas) ?

J'ai installé le certificat SSL de GoDaddy sur mon serveur Apache. Certains utilisateurs signalent encore des problèmes (certaines versions d'IE disent "This page cannot be displayed" sans autre explication), et openssl dit qu'il y a un certificat "auto-signé" dans la chaîne. Veuillez noter que c'est pas un certificat auto-signé . Il est signé par GoDaddy. Cet article a une réponse connexe qui n'a pas fonctionné : https://stackoverflow.com/a/4106224/1723405

Voici les mesures que j'ai prises :

Étape 1 : Générer une clé privée

openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key

Étape 2 : Allez sur GoDaddy et recomposez la clé en collant CSR.csr .

Etape 3 : Installez le fichier crt et bundle dans Apache et redémarrez.

// In <VirtualHost>
SSLEngine on
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
SSLVerifyClient none
SSLCertificateFile      /path/to/allthingsinsurance.net.crt
SSLCertificateKeyFile   /path/to/privateKey.key
SSLCertificateChainFile /path/to/gd_bundle-g2.cr

% apachectl restart

Étape 4 : Allez à l'une de plusieurs machines et échouez à vérifier en utilisant openssl.

% openssl s_client -connect allthingsinsurance.net:443 -showcerts -CApath /etc/ssl/certs

...lots of output, shows certs I installed...
Verify return code: 19 (self signed certificate in certificate chain)

Étape 5 : Allez sur les services de validation SSL en ligne et recevez des rapports mitigés :

  • whynopadlock.com : erreur auto-signée
  • ssltest.net : erreur auto-signée
  • ssllabs.com : ok
  • crossbrowsertesting.com : erreur similaire

0 votes

Comment avez-vous résolu ce problème ? J'ai exactement le même problème en ce moment et je ne sais pas quoi faire.

4voto

Lekensteyn Points 5981

Si whynopadlock.com et ssltest.net se plaignent du certificat alors que ssllabs.com dit que tout va bien, vérifiez la configuration de vos hôtes virtuels. SSLLabs.com prend en charge SNI alors que whynopadlock.com, ssltest.net et les anciennes versions d'IE ne le font pas.

Lorsque SNI n'est pas pris en charge par le client, aucun nom de serveur n'est disponible pour le serveur web qui se rabat alors sur le premier serveur virtuel correspondant. Vous disposez peut-être d'un autre serveur virtuel à des fins de test qui a la priorité sur votre site Web principal.

La solution consiste à modifier cet ordre ou à utiliser une adresse IP dédiée pour cet hôte.

0 votes

A part ça, votre domaine semble fonctionner maintenant.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X