Ich bin neu in der Einrichtung von SSL und habe meine ersten Schritte gemacht. Ich habe ein SSL-Zertifikat von RapidSSL für meine Domain gekauft und die dort angegebenen Schritte ausgeführt, um das Zertifikat zu installieren. Im Allgemeinen ist das Zertifikat gültig und funktioniert auf meinem Webserver (nginx v1.4.6 - Ubuntu 14.04.1 LTS). Wenn ich jedoch versuche, OCSP OCSP zu aktivieren, wird in meiner Datei nginx error.log der folgende Fehler angezeigt:
OCSP_basic_verify () ist fehlgeschlagen (SSL: Fehler: 27069065: OCSP-Routinen: OCSP_basic_verify: Fehler beim Überprüfen des Zertifikats: Fehler beim Überprüfen: Lokales Ausstellerzertifikat konnte nicht abgerufen werden), während der Zertifikatstatus angefordert wurde, Antwortender: gv.symcd.com
Ich habe es auch mit diesem Befehl von der Kommandozeile aus versucht:
openssl s_client -connect mydomain.tld: 443 2> & 1 </ dev / null
Und habe den "gleichen" Fehler wie in meinem error.log:
[...] SSL-Sitzung: Protokoll: TLSv1.2 Verschlüsselung: ECDHE-RSA-AES256-GCM-SHA384 [...] Startzeit: 1411583991 Zeitlimit: 300 (Sek.) Überprüfen Sie den Rückkehrcode: 20 (Lokaler Abruf nicht möglich) Ausstellerzertifikat)
Laden Sie das GeoTrust-Stammzertifikat herunter und versuchen Sie es mit dem folgenden Befehl:
openssl s_client -connect mydomain.tld: 443 -CAfile GeoTrust_Global_CA.pem 2> & 1 </ dev / null
Überprüfung ist in Ordnung:
[...] SSL-Sitzung: Protokoll: TLSv1.2 Verschlüsselung: ECDHE-RSA-AES256-GCM-SHA384 [...] Startzeit: 1411583262 Timeout: 300 (Sek.) Rückgabecode überprüfen: 0 (OK)
Irgendwie wird das GeoTrust-Stammzertifikat nicht gefunden / geliefert.
Meine Nginx-Site-Konfiguration:
server {
listen 443;
server_name mydomain.tld;
ssl on;
ssl_certificate /etc/ssl/certs/ssl.crt;
ssl_certificate_key /etc/ssl/private/ssl.key;
# Resumption
ssl_session_cache shared:SSL:20m;
# Timeout
ssl_session_timeout 10m;
# Security options
ssl_prefer_server_ciphers on;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
# OCSP Stapling
# It means that you sent status info about your certificate along with the request,
# instead of making the browser check the certificate with the Certificate Authority.
# This removes a large portion of the SSL overhead, the CloudFlare post above explains it in more detail.
ssl_stapling on;
ssl_stapling_verify on;
#ssl_trusted_certificate /etc/ssl/certs/ssl.pem;
#resolver 8.8.8.8 8.8.4.4 valid=300s;
#resolver_timeout 10s;
# This forces every request after this one to be over HTTPS
add_header Strict-Transport-Security "max-age=31536000";[...]};
RapidSSL schrieb in seiner Dokumentation, dass ich die folgenden Zertifikate in der folgenden Reihenfolge in die ssl.crt einfügen sollte:
- myserver.crt
- CA-Zwischenpaket (RapidSSL SHA256 CA - G3)
- Zwischenzertifizierungsstellen-Bundle (GeoTrust Global CA)
So tat ich...
Im Moment habe ich keine Ahnung, was ich falsch mache ... hoffentlich kann mir hier jemand helfen.
Vielen Dank!
quelle
Ich kann nur einen Teil davon beantworten.
openssl s_client -connect mydomain.tld: 443 2> & 1 </ dev / null
würde das Globalsign Root-Zertifikat in / etc / ssl / certs benötigen. Es gibt ein Paket mit Ca-Zertifikaten. Haben Sie das installiert?
quelle