Skocz do zawartości

tomixxo

Użytkownicy
 Wyświetl profil  Zobacz jego aktywność

  • Zawartość

    3

  • Rejestracja

  • Ostatnio

Posty napisane przez tomixxo

  1. Napisano · Raportuj odpowiedź

    ok rozwiązałem problem :)

     

    Syndrom - zmobilizowałeś mnie do sprawdzenia kolejny raz certyfikatów pośredniczających i popełniłem błąd.

    Próbowałem dać certyfikat sha-256 a się okazało, że potrzebuję Sha-1 AlphaSLL i poszło (potpatrzyłem w przeglądarce :) ).

     

    Wiem już teraz, że popełniłem błąd przy generowaniu csr ale certyfikat kupiłem za 12 zł :) więc możliwe, że go wymienię jak chrome będzie miało wątpliwości :) Może ten rok jeszcze wytrzyma :)

     

    Bardzo dziękuję za zainteresowanie i pomoc z wyżej wymienionym problemem.

  2. Napisano · Edytowano przez tomixxo (zobacz historię edycji) · Raportuj odpowiedź

    Pytanie zadałem ponieważ chciałem się upewnić, że nie popełniam błędu z sklejaniem certyfikatu i może ktoś na szybko coś wypatrzy:)

     

    SiXwishlist no w zasadzie powinienem zacząć od molestowania home.pl :)

    na tej stronie owszem jest certfikat pośredniczący home_CA.pe ale to jest właśnie AlphaSSl CA

    (taki myk home.pl)

     

    przemon - narazie niemogę :) nie pytaj dlaczego

     

    nrm - zapoznam się z tematem ale nigdzie w logach tego nie wykryłem

     

    Syndrom - no właśnie tu jest sedno sprawy. Wiem, że brakuje bo to widać w tym logu co podałem.

    Problem jest taki, że prubuję dodać te certyfikaty przez panel i mi nie wychodzi.

     

    prawidłowa ścieżka jest taka

    GlobalSign Root CA

    AlphaSSl CA

    domena.pl

     

    certyfikaty global i alpha podałem aby nie było wątpliwości, że prawidłowe ale nie wiem dokładnie co i jak mam wkleić i poskładać.

    Jak ktoś wklejał to przez ten panel i mu chodzi wszystko prawidłowo to prośba aby mnie upewnić, że wklejam to prawidłowo.

    Zacznę wtedy grzebać dalej :)

     


    nrm - tak właśnie sprawdziłem - w panelu ustawienia serwera - konfiruracja SSL mam

    włącz SNI aktywowane

    CA Path - puste

    CA passphrase - puste

     

    mam to jakoś zmienić? - jeszcze nie zdążyłem poczytać na ten temat - dopiero wieczorem dam radę

  3. Napisano · Raportuj odpowiedź

    Witam,
    mam problem z poprawnym zainstalowaniem certyfikatu ssl poprzez panel ispconfig3 tak aby łańcuch certyfikatów był poprawnie odczytywany w urządzeniach mobilnych (np. android –przeglądarka chrome).
    Napiszę może co mam i co wiem i proszę o poprawkę mojego toku myśleniaJ
    kupiłem usługę homessl – czyli certyfikat jest podpisany przyz AlphaSSL
    (wystawione i podpisane w 2015)

    mam teraz takie pliki - .csr .key . cert - pobrane z panelu home.pl

    teraz dodatkowo z strony http://www.alphassl.com/support/install-root-certificate.html
    pobrałem certyfikat oznaczony jako (pierwszy od góry)
    SHA-256 - Orders March 31, 2014 and After
    AlphaSSL SHA-256 R1 Intermediate Certificates
    AlphaSSL CA - SHA256 - G2
    SHA256 - RSA - 2048
    Valid until: 20 February 2024

    i z strony (też pierwszy zgodnie z tabelką)
    https://support.globalsign.com/customer/portal/articles/1426602-globalsign-root-certificates
    GlobalSign Root R1
    SHA1 • RSA • 2048
    Valid until: 28 January 2028
    Serial #: 04:00:00:00:00:01:15:4b:5a:c3:94
    Thumbprint: b1:bc:96:8b:d4:f4:9d:62:2a:a8:9a:81:f2:15:01:52:a4:1d:82:9c

    ok teraz dodaje w panelu ispconfig3 tak jak w załączniku 1 (tak może będzie lepiej ukazane)

    Po takiej konfiguracji przeglądarki w kompach nie wyświetlają planszy o błędnym kluczu ale mobilne niestety tak

    Starałem się znaleźć problem, przebrnąłem przez wiele stron ale w skrócie wszędzie jest o tym, że łańcuch klucza jest niepoprawny. Ok to wiem ale jak zrobić aby był poprawny? J

    Komendą w konsoli

    openssl s_client -CApath /var/www/clients/client1/web1/ssl -connect domena.pl:443

    CONNECTED(00000003)
    depth=0 OU = Domain Control Validated, CN = www.domena.pl
    verify error:num=20:unable to get local issuer certificate
    verify return:1
    depth=0 OU = Domain Control Validated, CN = www.domena.pl
    verify error:num=27:certificate not trusted
    verify return:1
    depth=0 OU = Domain Control Validated, CN = www.domena.pl
    verify error:num=21:unable to verify the first certificate
    verify return:1
    ---
    Certificate chain
    0 s:/OU=Domain Control Validated/CN=www.domena.pl
    i:/O=AlphaSSL/CN=AlphaSSL CA - G2
    ---
    Server certificate
    -----BEGIN CERTIFICATE-----
    certyfikat .crt
    -----END CERTIFICATE-----
    subject=/OU=Domain Control Validated/CN=www.domena.pl
    issuer=/O=AlphaSSL/CN=AlphaSSL CA - G2
    ---
    No client certificate CA names sent
    ---
    SSL handshake has read 2411 bytes and written 434 bytes
    ---
    New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
    Server public key is 4096 bit
    Secure Renegotiation IS supported
    Compression: NONE
    Expansion: NONE
    SSL-Session:
    Protocol : TLSv1.2
    Cipher : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 3123….ciach
    Session-ID-ctx:
    Master-Key: BB3C…ciach
    Key-Arg : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    …. skrócę kod ….

    Start Time: 1425555734
    Timeout : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
    ---
    closed

    w pliku /etc/apache2/site-enables/100-domena.pl.vhost
    mam
    ….
    SSLCertificateFile /var/www/clients/client1/web1/ssl/domena.pl.crt
    SSLCertificateKeyFile /var/www/clients/client1/web1/ssl/domena.pl.key
    SSLCACertificateFile /var/www/clients/client1/web1/ssl/domena.pl.bundle
    ….

    Jak to zmodyfikować aby było dobrze?

    post-34030-0-56337400-1425554162_thumb.jpg

×