Skocz do zawartości


 

Zdjęcie

SSL ISPConfig3 i problem z urządzeniami mobilnymi

SSL ISPConfig3 i problem z urządzeniami mobilnymi SSL ISPConfig3

  • Proszę się zalogować aby odpowiedzieć
7 odpowiedzi na ten temat

SSL ISPConfig3 i problem z urządzeniami mobilnymi

#1 tomixxo

tomixxo

    Nowy użytkownik

  • Nowy
  • 3 postów

Napisany 05 marzec 2015 - 12:20

Witam,
mam problem z poprawnym zainstalowaniem certyfikatu ssl poprzez panel ispconfig3 tak aby łańcuch certyfikatów był poprawnie odczytywany w urządzeniach mobilnych (np. android –przeglądarka chrome).
Napiszę może co mam i co wiem i proszę o poprawkę mojego toku myśleniaJ
kupiłem usługę homessl – czyli certyfikat jest podpisany przyz AlphaSSL
(wystawione i podpisane w 2015)
 
mam teraz takie pliki - .csr .key . cert     - pobrane z panelu home.pl
 
teraz dodatkowo z strony  http://www.alphassl....ertificate.html
pobrałem certyfikat oznaczony jako (pierwszy od góry)
SHA-256 - Orders March 31, 2014 and After
AlphaSSL SHA-256 R1 Intermediate Certificates
AlphaSSL CA - SHA256 - G2
SHA256 - RSA - 2048
Valid until: 20 February 2024
 
i z strony (też pierwszy zgodnie z tabelką)
https://support.glob...ot-certificates
GlobalSign Root R1
SHA1 • RSA • 2048
Valid until: 28 January 2028
Serial #: 04:00:00:00:00:01:15:4b:5a:c3:94
Thumbprint: b1:bc:96:8b:d4:f4:9d:62:2a:a8:9a:81:f2:15:01:52:a4:1d:82:9c
 
ok teraz dodaje w panelu ispconfig3 tak jak w załączniku 1 (tak może będzie lepiej ukazane)
 
Po takiej konfiguracji przeglądarki w kompach nie wyświetlają planszy o błędnym kluczu ale mobilne niestety tak
 
Starałem się znaleźć problem, przebrnąłem przez wiele stron ale w skrócie wszędzie jest o tym, że łańcuch klucza jest niepoprawny. Ok to wiem ale jak zrobić aby był poprawny? J
 
Komendą w konsoli
 
openssl s_client -CApath /var/www/clients/client1/web1/ssl -connect domena.pl:443
 
CONNECTED(00000003)
depth=0 OU = Domain Control Validated, CN = www.domena.pl
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 OU = Domain Control Validated, CN = www.domena.pl
verify error:num=27:certificate not trusted
verify return:1
depth=0 OU = Domain Control Validated, CN = www.domena.pl
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=www.domena.pl
   i:/O=AlphaSSL/CN=AlphaSSL CA - G2
---
Server certificate
-----BEGIN CERTIFICATE-----
certyfikat  .crt
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=www.domena.pl
issuer=/O=AlphaSSL/CN=AlphaSSL CA - G2
---
No client certificate CA names sent
---
SSL handshake has read 2411 bytes and written 434 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 3123….ciach
    Session-ID-ctx:          
    Master-Key: BB3C…ciach
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    …. skrócę kod ….
 
    Start Time: 1425555734
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
closed
 
w pliku /etc/apache2/site-enables/100-domena.pl.vhost
mam
….
SSLCertificateFile /var/www/clients/client1/web1/ssl/domena.pl.crt
SSLCertificateKeyFile /var/www/clients/client1/web1/ssl/domena.pl.key
SSLCACertificateFile /var/www/clients/client1/web1/ssl/domena.pl.bundle
….
 
Jak to zmodyfikować aby było dobrze?

Załączone pliki


  • 0

#2 SiXwishlist

SiXwishlist

    Freedom Forever

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 2366 postów
  • Skąd:Great Britain
  • Firma:SiXwishlist

Napisany 05 marzec 2015 - 13:06

A że tak zapytam, od kogo masz certyfikat?

 

https://pomoc.home.p...rtyfikatow-ssl/


Edytowany przez SiXwishlist, 05 marzec 2015 - 13:09.

  • 0

#3 przemon

przemon

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 148 postów
  • Skąd:Kraków
  • Imię:Przemyslaw
  • Nazwisko:Nowakowski

Napisany 05 marzec 2015 - 13:08

podaj nazwę domeny to się sprawdzi a nie takie ukrywanie


  • 0

#4 Gość_nrm_*

Gość_nrm_*
  • Goście

Napisany 05 marzec 2015 - 13:27

 

 

Po takiej konfiguracji przeglądarki w kompach nie wyświetlają planszy o błędnym kluczu ale mobilne niestety tak

 

Nie masz tego czasem robionego na SNI? Wtedy by właśnie był taki objaw (ale na starych telefonach).


  • 0

#5 Syndrom

Syndrom

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 328 postów

Napisany 05 marzec 2015 - 13:32

Brakuje certyfikatów pośredniczących


  • 0

#6 tomixxo

tomixxo

    Nowy użytkownik

  • Nowy
  • 3 postów

Napisany 05 marzec 2015 - 14:46

Pytanie zadałem ponieważ chciałem się upewnić, że nie popełniam błędu z sklejaniem certyfikatu i może ktoś na szybko coś wypatrzy:)

 

SiXwishlist no w zasadzie powinienem zacząć od molestowania home.pl :)

na tej stronie owszem jest certfikat pośredniczący home_CA.pe ale to jest właśnie AlphaSSl CA

(taki myk home.pl)

 

przemon - narazie niemogę :) nie pytaj dlaczego

 

nrm - zapoznam się z tematem ale nigdzie w logach tego nie wykryłem

 

Syndrom - no właśnie tu jest sedno sprawy. Wiem, że brakuje bo to widać w tym logu co podałem.

Problem jest taki, że prubuję dodać te certyfikaty przez panel i mi nie wychodzi.

 

prawidłowa ścieżka jest taka

GlobalSign Root CA

                        AlphaSSl CA

                                           domena.pl

 

certyfikaty global i alpha podałem aby nie było wątpliwości, że prawidłowe ale nie wiem dokładnie co i jak mam wkleić i poskładać.

Jak ktoś wklejał to przez ten panel i mu chodzi wszystko prawidłowo to prośba aby mnie upewnić, że wklejam to prawidłowo.

Zacznę wtedy grzebać dalej :)

 


nrm - tak właśnie sprawdziłem - w panelu ustawienia serwera - konfiruracja SSL mam

włącz SNI   aktywowane

CA Path - puste

CA passphrase - puste

 

mam to jakoś zmienić? - jeszcze nie zdążyłem poczytać na ten temat - dopiero wieczorem dam radę


Edytowany przez tomixxo, 05 marzec 2015 - 14:48.

  • 0

#7 Syndrom

Syndrom

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 328 postów

Napisany 05 marzec 2015 - 17:21

Pokazał byś domenę wtedy by było wszystko jasne, wg mnie wklejasz złe pośredniczące certyfkaty


  • 0

#8 tomixxo

tomixxo

    Nowy użytkownik

  • Nowy
  • 3 postów

Napisany 05 marzec 2015 - 18:42

ok rozwiązałem problem :)

 

Syndrom - zmobilizowałeś mnie do sprawdzenia kolejny raz certyfikatów pośredniczających i popełniłem błąd.

Próbowałem dać certyfikat sha-256 a się okazało, że potrzebuję Sha-1 AlphaSLL i poszło (potpatrzyłem w przeglądarce :) ).

 

Wiem już teraz, że popełniłem błąd przy generowaniu csr ale certyfikat kupiłem za 12 zł :) więc możliwe, że go wymienię jak chrome będzie miało wątpliwości :) Może ten rok jeszcze wytrzyma :)

 

Bardzo dziękuję za zainteresowanie i pomoc z wyżej wymienionym problemem.


  • 0






Także otagowane jednym lub więcej z tych słów kluczowych: SSL, ISPConfig3

0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników