8 votes

bytecode77 avatar

Le certificat de l'autorité de certification n'est pas reconnu par Firefox

Demandé el 9 de Novembre, 2015
Quand la question a-t-elle été
5531 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Mon domaine bytecode77.com ( analytique ) utilise un certificat RapidSSL. Firefox ne fait pas confiance à ce dernier, j'ai donc installé un certificat CA.

J'ai utilisé celui ci-dessous. Je l'ai placé dans /usr/local/share/ca-certificates/ca.crt et j'ai couru update-ca-certificates . Puis j'ai redémarré apache.

Mais Firefox ne fait toujours pas confiance au certificat. Qu'est-ce qui ne va pas ici ?

Mon vHost

<VirtualHost *:443>
    ServerName bytecode77.com
    DocumentRoot /var/www/bytecode77/html

    SSLEngine on
    SSLCertificateFile /var/www/bytecode77/root/bytecode77.com.crt
    SSLCertificateKeyFile /var/www/bytecode77/root/bytecode77.com.key
</VirtualHost>

Certificat CA

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Demandé el 9 de Novembre, 2015 par bytecode77

Réponses

Trop de publicités?

23voto

Grant avatar
Grant Points 16706

Votre chaîne de certificats est incomplète. Vous devez ajouter une ligne SSLCertificateChainFile, et le fichier doit inclure le certificat intermédiaire "RapidSSL SHA256 CA - G3".

Firefox fait confiance à l'autorité de certification globale Geotrust, mais sans lui envoyer également le certificat intermédiaire, il ne sait pas qui a signé votre certificat et ne lui fait donc pas confiance.

RapidSSL a un bon tutoriel, y compris où obtenir les fichiers nécessaires, ici : https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO6252

Répondu el 9 de Novembre, 2015 par Grant (16706 Points )

0 votes

Avatar de bytecode77

Intéressant. Cela ne fonctionnait pas auparavant, mais maintenant cela fonctionne aussi sans, ce qui signifie que ma tentative précédente a juste "pris du temps"... Je ne sais pas. Maintenant ça marche...

Commenté el 9 de Novembre, 2015 par bytecode77

0 votes

Avatar de David King

@bytecode77 Votre tentative précédente ne devrait pas ont fonctionné. Sans l'entrée dans la configuration de votre hôte virtuel, rien ne permet de dire à Apache d'envoyer la chaîne de certificats. Vous pouvez effectuer d'autres tests à partir d'autres ordinateurs/navigateurs pour vous assurer que tout fonctionne comme prévu.

Commenté el 9 de Novembre, 2015 par David King

4 votes

Avatar de Tore A.

@bytecode77. Parfois, lorsqu'un navigateur reçoit un certificat intermédiaire de quelque part, il le stocke. Et si, plus tard, il visite un site qui dépend de ce certificat et ne le fournit pas, il fonctionnera, car le navigateur l'a dans son cache. Donc, cela peut maintenant fonctionner pour vous parce que vous avez visité un autre site qui utilisait le même certificat intermédiaire et l'a fourni à votre navigateur.

Commenté el 9 de Novembre, 2015 par Tore A.
Afficher 3 autres commentaires

5voto

David King avatar
David King Points 466

Mettez à jour la configuration de votre hôte virtuel comme suit

<VirtualHost *:443>
    ServerName bytecode77.com
    DocumentRoot /var/www/bytecode77/html

    SSLEngine on
    SSLCertificateFile /var/www/bytecode77/root/bytecode77.com.crt
    SSLCertificateChainFile /usr/local/share/ca-certificates/ca.crt
    SSLCertificateKeyFile /var/www/bytecode77/root/bytecode77.com.key
</VirtualHost>

pour demander à Apache d'envoyer la chaîne de certificats avec le certificat.

Répondu el 9 de Novembre, 2015 par David King (466 Points )

0voto

Nick Woodhams avatar
Nick Woodhams Points 251

Dans mon cas, l'installation des certificats intermédiaires et racine liés dans l'email avec le certificat SSL n'a pas fonctionné, mais Geotrust a un outil qui m'a aidé.

https://cryptoreport.geotrust.com/checker/views/certCheck.jsp

Il m'a relié directement au certificat dont j'avais besoin.

Geotrust errors

Après avoir installé

No Errors

Aucune erreur sur Firefox, Safari ou Chrome.

Répondu el 17 de Novembre, 2017 par Nick Woodhams (251 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X