înregistrare Logare
Puncte:-1
Mike Fry avatar Ubuntu

Certificatul rădăcină focală Ubuntu nu a fost găsit

drapel cn
Mike Fry

Compania mea și-a emis propriile certificate de emitere și semnare rădăcină. Serverul meu are un certificat ssl pentru apache. Am pus rădăcina și 4 certificate de emitere în /etc/ssl/certs. Apoi am rulat update-ca-certificates. Folosind Chrome, navighez pe site și primesc o eroare de validare a certificatului. Am efectuat acești pași de mai multe ori fără eroare. Echipa noastră PKI confirmă că certificatul este valabil. Ce altceva ar trebui să verific?

imagine

41
0 + 0
ssl
Puncte:1
Steffen Ullrich avatar Ubuntu
drapel in
Steffen Ullrich

Chrome nu folosește certificatele în /etc/ssl/certs dar vine cu propriul magazin CA root în Linux. Deci, trebuie să importați CA rădăcină în Chrome (Gestionați certificatele din Setări). La fel și cu Firefox, care folosește și propriul magazin CA care nu este partajat cu Chrome.

0 + 0
Mike Fry avatar
drapel cn
Mike Fry
Mulțumesc. Ar fi trebuit să menționez că am importat certificatul rădăcină în Chrome. Am comparat acest lucru când un alt site intern securizat cu același lanț și este bine. Acest lucru îmi spune că Chrome are certificatul rădăcină corect. Cu cât sapă mai mult în asta, duce la un certificat prost.
0
Răspunde
Steffen Ullrich avatar
drapel in
Steffen Ullrich
@MikeFry: verificați ce certificat este afișat în Chrome pentru acest site și dacă arată lanțul de încredere pentru CA pe care l-ați importat. Dacă certificatul de server este cel așteptat (verificarea subiectului, expirarea - în mod ideal amprenta digitală) și dacă lanțul de încredere este afișat CA așteptat, atunci altceva este greșit, cum ar fi momentul greșit pe mașină. Verificați (și furnizați în întrebarea dvs.) mesajul de eroare real pe care îl primiți în Chrome și, de asemenea, detaliile afișate după ce accesați linkul către informații avansate.
0
Răspunde
Puncte:-1
Tilman avatar Ubuntu
drapel cn
Tilman

Începeți prin a verifica detaliile erorii de validare a certificatului. Asta vă va spune de ce validarea a eșuat. Continuați-vă investigația de acolo. De exemplu, dacă Chrome susține că certificatul nu este încă valid, verificați setările de ceas ale tuturor mașinilor implicate. Dacă Chrome spune că emitentul nu este de încredere, verificați dacă are instalat certificatul rădăcină al companiei dvs. Dacă există un alt motiv, alte verificări vor fi relevante.

0 + 0
drapel ru
Thomas Ward
OP indică că au validat deja că certificatul este valabil. Ei folosesc /etc/ssl/certs, care este magazinul global de sistem pe care Chrome și Firefox nu îl folosesc în Linux. Ceea ce înseamnă că trebuie să importe lanțul de certificate CA în Chrome și Firefox și asta ar trebui să-și rezolve problemele (așa cum se indică în celălalt răspuns)
0
Răspunde
Tilman avatar
drapel cn
Tilman
Nu cred că ai citit corect întrebarea. OP indică că au pus certificatul în `/etc/ssl/certs` pe *server*, dar eroarea de validare se întâmplă pe *client*, așa că trebuie să verifice de ce *clientul* pretinde că certificatul este invalid în timp ce *serverul* asigură că este valid.
0
Răspunde
drapel ru
Thomas Ward
dacă sunt CA personalizate, așa cum spune OP („Compania mea a emis propriile certificate de emitere și semnare rădăcină”), atunci certificatele de semnare pentru CA personalizat trebuie să fie importate în mod independent în Chrome și Firefox. Asta rămâne încă un dat, indiferent. CA personalizate nu sunt acceptate automat. (Știu acest lucru din experiență, am un CA personalizat cu semnare MULTIPLE și certificate intermediare, precum și câteva grupuri cu care lucrez, soluția este „Importați mai întâi aceste CA-uri în magazinele Chrome și Firefox” - indiferent de situație.)
0
Răspunde
Tilman avatar
drapel cn
Tilman
Desigur. Dar OP indică, de asemenea, că a funcționat cu ocazii anterioare, așa că este foarte posibil să fi făcut asta deja. Prin urmare, înainte de a sări la concluzii, ar trebui să urmeze procedura adecvată de depanare, începând prin a se uita efectiv la mesajul de eroare. Rețineți că am numit deja soluția dvs. ca un rezultat posibil.Doar că nu este încă sigur că acesta este cu adevărat motivul, pe baza informațiilor din întrebare.
0
Răspunde
Mike Fry avatar
drapel cn
Mike Fry
Acum câțiva ani, când am trecut la CA intern, am scris un pachet Debian care importa toate certificatele necesare în magazin pentru Chrome și Firefox. Vă mulțumesc pentru toate comentariile și sugestiile. Vom încerca să încercăm o diferență de CA oferită de echipa noastră PKI.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.