Je viens enfin d'obtenir un certificat d'une autorité et j'ai du mal à faire fonctionner les choses. J'ai créé le certificat combiné approprié (personnel + intermédiaire + racine) et nginx y pointe. J'ai obtenu une IP élastique et je l'ai connectée à mon instance EC2. Mes enregistrements DNS pointent vers cette IP. Mais lorsque je pointe le navigateur vers le nom de l'hôte, je reçois le message standard "Connexion non sécurisée", avec ssl_error_bad_cert_domain. Le port 443 est ouvert - je peux accéder au site en https si je ignore l'avertissement. La chose étrange est que, dans les détails techniques, il liste le domaine que j'ai essayé d'accéder comme valide!
Quand j'essaie de diagnostiquer avec des sites de test ssl, ils ne détectent même pas de certificat!
Qu'est-ce que je rate ici?
Le domaine est yanlj.coinculture.info. Notez que j'ai coinculture.info fonctionnant sur un serveur domestique sans IP dédiée et j'ai le même problème, mais je le déménagerai sur la même instance EC2 dès que j'aurai résolu ce problème. Je pensais que l'IP élastique résoudrait les choses mais ce n'est pas le cas.
Configuration Nginx:
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /home/ubuntu/certs/startssl/ssl-unified.crt;
ssl_certificate_key /home/ubuntu/certs/startssl/ssl.key;
keepalive_timeout 70;
#ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
#ssl_ciphers HIGH:!aNULL:!MD5;
#ssl_prefer_server_ciphers on;
root /home/ubuntu/programming/YanlJ;
index index.php index.html;
location / {
#try_files $uri $uri/ /index.php; # cette ligne provoquait le chargement du fichier index.php deux fois...
}
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
# NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini
# With php5-cgi alone:
#fastcgi_pass 127.0.0.1:9000;
# With php5-fpm:
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_index index.php;
include fastcgi.conf;
}
try_files $uri $uri.php $uri.html =404;
}et les résultats de curl -kv https:// ELASTIC_IP:
* Rebuilt URL to: https:// 54.186.114.3/ * Le nom d'hôte n'a pas été trouvé dans le cache DNS * Essai de 54.186.114.3... * Connecté à 54.186.114.3 (54.186.114.3) port 443 (#0) * SSLv3, poignée de main TLS, Client hello (1): * SSLv3, poignée de main TLS, Server hello (2): * SSLv3, poignée de main TLS, CERTIFICAT (11): * SSLv3, poignée de main TLS, Échange de clés du serveur (12): * SSLv3, poignée de main TLS, Terminé du serveur (14): * SSLv3, poignée de main TLS, Échange de clés du client (16): * SSLv3, changement de cipher TLS, Client hello (1): * SSLv3, poignée de main TLS, Terminé (20): * Connexion SSL utilisant TLSv1.0 / DHE-RSA-AES256-SHA * Certificat serveur: * sujet: C=CA; ST=Ontario; L=Guelph; O=Ethan Buchman; CN=blog.coinculture.info; emailAddress=webmaster@coinculture.info * date de début: 29 mai 2014 15:10:52 GMT * date d'expiration: 29 mai 2016 10:44:27 GMT * émetteur: C=IL; O=StartCom Ltd.; OU=Secure Digital Certificate Signing; CN=StartCom Class 2 Primary Intermediate Server CA * vérification du certificat SSL réussie.
