Не найдены соответствующие сертификаты или загрузка файлов с истекшим сроком действия невозможна

Обновлено: 21.11.2024

Клиентское приложение получает ответ HTTP 400 — Bad request с сообщением "Ошибка SSL-сертификата". Эта ошибка обычно отправляется пограничным маршрутизатором при включенной двусторонней настройке TLS для входящего соединения с Apigee Edge.

Сообщение об ошибке

Клиентское приложение получает следующий код ответа:

Сопровождается приведенной ниже HTML-страницей с ошибкой:

Возможные причины

Возможные причины этой проблемы:

Причина Описание Инструкции по устранению неполадок, применимые к
Срок действия сертификата клиента < /td> Срок действия сертификата, отправленного клиентом, истек. Пользователи Edge Private и Public Cloud
Клиент отправил неверный сертификат Эта ошибка возникает, если сертификат, отправленный клиентским приложением, не совпадает с сертификатом, хранящимся в хранилище доверенных сертификатов маршрутизатора Edge. Пользователи Edge Private и Public Cloud
Отсутствует корневой сертификат клиента в хранилище доверенных сертификатов Эта ошибка возникает, если корневой сертификат клиента, подписанный CA, отсутствует в хранилище доверенных сертификатов маршрутизатора Edge. Edge Private and Пользователи общедоступного облака
Клиентские сертификаты не загружены в пограничный маршрутизатор Эта ошибка возникает, если клиентские сертификаты, загруженные в хранилище доверенных сертификатов, не загружены в маршрутизатор . Пользователи Edge Private Cloud

Причина: истек срок действия сертификата клиента

Эта проблема обычно возникает для двустороннего TLS, когда срок действия сертификата, отправленного клиентом, истек. В двустороннем TLS и клиент, и сервер обмениваются своими общедоступными сертификатами для выполнения рукопожатия. Клиент проверяет сертификат сервера, а сервер проверяет сертификат клиента.

В Edge двухсторонний TLS реализуется на виртуальном хосте, где сертификат сервера добавляется в хранилище ключей, а сертификат клиента добавляется в хранилища доверенных сертификатов.

Во время рукопожатия TLS, если обнаружится, что срок действия сертификата клиента истек, сервер отправит запрос 400 – Bad с сообщением "Ошибка сертификата SSL".

Диагностика

Войдите в пользовательский интерфейс Edge и просмотрите конкретную конфигурацию виртуального хоста (Администрирование > Виртуальные хосты), для которой делается запрос API, или используйте API-интерфейс управления API виртуального хоста, чтобы получить определение конкретного виртуального хоста.< /p>

Обычно виртуальный хост для двусторонней связи TLS выглядит следующим образом:

Определите ссылку на хранилище доверенных сертификатов, используемую в виртуальном хосте. В приведенном выше примере имя ссылки хранилища доверенных сертификатов — myTruststoreRef.

    В пользовательском интерфейсе Edge перейдите в «Администратор» > «Среды» > «Ссылки» и найдите имя ссылки на доверенное хранилище.

Запишите имя в столбце «Ссылка» для конкретной ссылки на доверенное хранилище. Это будет ваше имя Truststore.

Рисунок 1

Обратите внимание, что в приведенном выше примере myTruststoreRef содержит ссылку на myTruststore. Следовательно, имя хранилища доверенных сертификатов — myTruststore .

Рисунок 2

Сертификат с псевдонимом client-cert-markw в приведенном выше примере показывает, что срок его действия истек.

Разрешение

Приобретите новый сертификат и загрузите сертификат:

  1. Создайте новое хранилище доверенных сертификатов, например myNewTruststore.
  2. Загрузите новый сертификат во вновь созданное хранилище доверенных сертификатов.

Измените ссылку на хранилище доверенных сертификатов, используемую в конкретном виртуальном хосте, чтобы она указывала на новое хранилище доверенных сертификатов, используя шаги, описанные в разделе Изменение ссылки.

В примере, описанном выше, укажите ссылку myTruststoreRef на myNewTruststore.

Общие этапы диагностики других причин

  1. Чтобы исследовать эту проблему, вам потребуется перехватить пакеты TCP/IP с помощью инструмента tcpdump.
    1. Если вы являетесь пользователем частного облака, вы можете перехватывать пакеты TCP/IP в клиентском приложении или маршрутизаторе.
    2. Если вы являетесь пользователем общедоступного облака, захватывайте пакеты TCP/IP в клиентском приложении.

    После того, как вы решили, где вы хотите перехватывать пакеты TCP/IP, используйте следующую команду tcpdump для захвата пакетов TCP/IP:

    Примечание. Если вы принимаете пакеты TCP/IP на маршрутизаторе, используйте общедоступный IP-адрес клиентского приложения в команде tcpdump.

    Если вы принимаете пакеты TCP/IP в клиентском приложении, используйте общедоступный IP-адрес имени хоста, используемого в виртуальном хосте, в команде tcpdump.

    Дополнительную информацию об этом инструменте и других вариантах этой команды см. в tcpdump.

    Вот анализ примера данных пакетов TCP/IP с помощью инструмента Wireshark:

    Причина: Клиент отправил неверный сертификат

    Это обычно происходит, если субъект/эмитент сертификата и/или его цепочки, отправленной клиентским приложением, не соответствует сертификату и/или его цепочке, хранящейся в хранилище доверенных сертификатов маршрутизатора (сервера).

    Диагностика

    Войдите в пользовательский интерфейс Edge и просмотрите конкретную конфигурацию виртуального хоста (Администрирование > Виртуальные хосты), для которой делается запрос API, или используйте API-интерфейс управления Get виртуального хоста, чтобы получить определение конкретного виртуального хоста.

    Обычно виртуальный хост для двусторонней связи TLS выглядит следующим образом:

    В приведенном выше примере имя ссылки хранилища доверенных сертификатов — myCompanyTruststoreRef.

      В пользовательском интерфейсе Edge перейдите к «Администратор» > «Ссылки на среды» и найдите имя ссылки на доверенное хранилище.

    Запишите имя в столбце «Ссылка» для конкретной ссылки на доверенное хранилище. Это будет ваше имя Truststore.

    Рисунок 5

    В приведенном выше примере обратите внимание, что myCompanyTruststoreRef содержит ссылку на myCompanyTruststore. Следовательно, имя хранилища доверенных сертификатов — myCompanyTruststore.

    Этот API выводит список всех сертификатов в определенном хранилище доверенных сертификатов.

    Этот API возвращает информацию о конкретном сертификате в определенном хранилище доверенных сертификатов.

    Разрешение

    Убедитесь, что клиентское приложение отправляет в Edge правильный сертификат и его цепочку.

    Причина: отсутствует корневой сертификат клиента в хранилище доверенных сертификатов

    Эта ошибка возникает, если корневой сертификат клиента, подписанный ЦС, отсутствует в хранилище доверенных сертификатов маршрутизатора Edge.

    Диагностика

    Войдите в пользовательский интерфейс Edge и просмотрите конкретную конфигурацию виртуального хоста, для которой делается запрос API (Администрирование > Виртуальные хосты > virtual_host ), или используйте API-интерфейс "Получить виртуальный хост", чтобы получить определение конкретного виртуального хоста.

    Обычно виртуальный хост для двусторонней связи TLS выглядит следующим образом:

    Имя хранилища доверенных сертификатов для конкретной ссылки на хранилище доверенных сертификатов находится в столбце «Ссылка».

    Рисунок 6

    В этом примере обратите внимание, что myCompanyTruststoreRef содержит myCompanyTruststore в столбце Reference. Следовательно, имя хранилища доверенных сертификатов — myCompanyTruststore.

    1. Список сертификатов для хранилища ключей или доверенных сертификатов API. Этот API выводит список всех сертификатов в хранилище доверенных сертификатов.
    2. Получите сведения о сертификате из хранилища ключей или доверенного хранилища API. Этот API возвращает информацию о конкретном сертификате в хранилище доверенных сертификатов.

    Проверьте, включает ли сертификат полную цепочку, включая корневой сертификат, отправленный конкретным клиентом, как показано в пакетах TCP/IP (см. рис. 4). Хранилище доверенных сертификатов должно включать корневой сертификат, а также конечный сертификат клиента или конечный и промежуточный сертификаты. Если действительный корневой сертификат клиента отсутствует в хранилище доверенных сертификатов, это является причиной ошибки.

    Однако, если полная цепочка сертификатов клиента, включая корневой сертификат, существует в хранилище доверенных сертификатов, это указывает на то, что сертификаты, загруженные в хранилище доверенных сертификатов, возможно, не загружены в пограничный маршрутизатор. Если это так, см. раздел Причина: сертификаты клиента не загружены в пограничный маршрутизатор.

    Разрешение

    Убедитесь, что правильный сертификат клиента, включая корневой сертификат, доступен в хранилище доверенных сертификатов маршрутизатора Apigee Edge.

    Причина: клиентские сертификаты не загружены в пограничный маршрутизатор

    1. Если вы являетесь пользователем общедоступного облака, обратитесь в службу поддержки Apigee.
    2. Если вы являетесь пользователем частного облака, следуйте приведенным ниже инструкциям на каждом маршрутизаторе:
      1. Проверьте, существует ли файл /opt/nginx/conf.d/OrgName_envName_vhostName-client.pem для определенного виртуального хоста. Если файл не существует, перейдите к разделу "Разрешение" ниже.
      2. Если файл существует, используйте приведенную ниже команду openssl, чтобы получить сведения о сертификатах, доступных на пограничном маршрутизаторе:
      3. Проверьте издателя, тему и дату истечения срока действия сертификата. Если какой-либо из них не соответствует тому, что наблюдалось в хранилище доверенных сертификатов в пользовательском интерфейсе Edge или с помощью API управления, это и является причиной ошибки.
      4. Возможно, маршрутизатор не перезагрузил загруженные сертификаты.

      Разрешение

      Перезапустите маршрутизатор, чтобы убедиться, что последние сертификаты загружены, выполнив следующий шаг:

      Повторно запустите API и проверьте результаты. Если проблема не устранена, перейдите к разделу Сбор диагностической информации.

      Сбор диагностической информации

      Если проблема не устранена даже после выполнения приведенных выше инструкций, соберите следующую диагностическую информацию. Свяжитесь со службой поддержки Apigee и поделитесь информацией, которую вы собираете:

      1. Если вы являетесь пользователем общедоступного облака, предоставьте следующую информацию:
        1. Название организации
        2. Имя среды
        3. Имя прокси-сервера API
        4. Имя виртуального хоста
        5. Псевдоним хоста
        6. Выполните команду curl, чтобы воспроизвести ошибку
        7. Пакеты TCP/IP, перехваченные клиентским приложением
          1. Имя виртуального хоста и его определение с помощью Get Virtual Host API
          2. Псевдоним хоста
          3. Обнаружено полное сообщение об ошибке
          4. Пакеты TCP/IP, перехваченные клиентским приложением или маршрутизатором.
          5. Вывод списка сертификатов из API хранилища ключей, а также сведений о каждом сертификате, полученном с помощью API получения сведений о сертификате.

          Если не указано иное, содержимое этой страницы предоставляется по лицензии Creative Commons Attribution 4.0, а образцы кода — по лицензии Apache 2.0. Подробнее см. в Правилах сайта Google Developers. Java является зарегистрированным товарным знаком Oracle и/или ее дочерних компаний.

          Примечание редактора. Первоначально этот блог был опубликован в сентябре 2016 года. Он был проверен на предмет ясности и точности менеджером по продукции GlobalSign Себастьяном Шульцем и соответствующим образом обновлен.

          Иногда даже ветераны PKI сталкиваются с трудностями при заказе или установке сертификатов SSL/TLS. Это не говорит об отсутствии знаний — скорее, эти процессы могут привести к ранее невиданным ошибкам. Заказ нужного сертификата, создание CSR, его загрузка, установка и проверка на предмет отсутствия проблем — все это области, в которых можно столкнуться с ошибками.

          Мы хотим максимально упростить процесс от начала до конца. По этой причине мы собрали наши основные запросы и проблемы, с которыми клиенты могут столкнуться во время заказа или установки. Мы надеемся, что этот блог поможет вам избежать этих ловушек и сократить время до завершения, но если у вас есть проблема, которую вы не можете решить с помощью этого блога, вы все равно можете просмотреть базу знаний службы поддержки GlobalSign или отправить заявку.

          Выбор правильного метода утверждения

          Примечание. При заказе SSL-сертификата в нашей системе нельзя изменить выбранные методы подтверждения.

          Электронная почта утверждающего


          При размещении заказа вы можете выбрать один из следующих адресов электронной почты, чтобы мы могли подтвердить ваш домен:

          На выбранный адрес будет отправлено электронное письмо, и после его получения вы сможете щелкнуть ссылку, чтобы подтвердить, что домен принадлежит вам.

          Примечание. Убедитесь, что вы выбрали правильный вариант, иначе вам придется отменить заказ и создать новый.

          ПРИМЕЧАНИЕ. Специальную статью о поддержке, которая поможет вам пройти проверку домена по электронной почте утверждающего, можно найти здесь.

          Наша система проверки сможет обнаружить метатег на странице и подтвердить право собственности на домен. Однако наша система не может проверить домен, если он перенаправляет на другую страницу, поэтому обязательно отключите все перенаправления.

          Запись TXT DNS

          Примечание. Специальную статью о поддержке, которая поможет вам пройти проверку домена с помощью записи DNS TXT, можно найти здесь.

          Отсутствует закрытый ключ

          Для заказа сертификата SSL/TLS требуется отправить CSR, а для создания CSR необходимо создать закрытый ключ. Ваш закрытый ключ, соответствующий вашему сертификату, обычно находится в том же каталоге, в котором был создан CSR. Если закрытый ключ больше не хранится на вашем компьютере (утерян), сертификат необходимо будет повторно выпустить с новым CSR и, следовательно, с вновь созданным закрытым ключом.

          Примеры сообщений об ошибках/ситуаций, указывающих на отсутствие закрытого ключа:

          Каким бы удобным это ни казалось, мы не рекомендуем использовать онлайн-инструменты для создания CSR. У них также будет ваш закрытый ключ, а это означает, что безопасность вашего сервера может быть скомпрометирована в будущем.

          Примечание. Мы предлагаем множество руководств, которые помогут вам создать закрытые ключи и CSR.

          Совместимость с сетью хранения данных

          При наличии альтернативного имени субъекта или сертификата SAN перед оформлением заказа следует учесть несколько моментов:

          Информацию о совместимости различных типов SAN с различными продуктами см. в таблице ниже:

          Недействительный CSR

          Если вы создаете CSR продления, вам необходимо убедиться, что общее имя совпадает с именем исходного CSR. Новый CSR не будет таким же, поскольку закрытый ключ должен быть другим. Вы не можете снова использовать тот же CSR, даже если это кажется удобным.

          Вы можете протестировать CSR с помощью декодера на вкладке Managed SSL ваших учетных записей GlobalSign.Если у вас его нет, вы можете безопасно использовать онлайн-ресурсы для проверки своего CSR, если вы не делитесь своим закрытым ключом, вам не нужно беспокоиться об их безопасности. Если в начале/конце запроса сертификата есть лишние пробелы или слишком много или слишком мало дефисов, CSR станет недействительным.
          -----НАЧАТЬ ЗАПРОС СЕРТИФИКАТА-----
          -----КОНЕЦ ЗАПРОСА СЕРТИФИКАТА-----

          Введенное вами обычное имя не соответствует базовому варианту

          Ошибка дублирования ключа

          Эта ошибка появляется, когда вы используете закрытый ключ, который уже использовался. Закрытый ключ и CSR должны использоваться только ОДИН РАЗ.

          Вы должны сгенерировать новый закрытый ключ и CSR на своем сервере и повторно отправить новый CSR. Причина, по которой SSL/TLS-сертификаты имеют максимальную действительность (и этот сертификат неоднократно обрывается), заключается в стремлении обеспечить частый обмен ключами, что снижает риск необнаруженной компрометации.

          Состояние заказа уже изменено

          Это сообщение об ошибке обычно появляется, когда срок действия вашего заказа истек. Вы должны начать процесс заказа с нуля и сообщить нам, если проблема не устранена. Если это так, нам нужно провести дополнительные проверки вашего аккаунта.

          ПРИМЕЧАНИЕ. Это сообщение об ошибке также может быть вызвано неправильно указанными SAN. Например, если CN — «www.domain.com», а поддомен указан как «domain.domain2.com», что указывает на отдельное полное доменное имя. Ознакомьтесь с приведенной выше информацией о SAN для получения разъяснений.

          Введенные параметры SAN не соответствуют параметрам SAN исходного сертификата

          Эта проблема может возникнуть по нескольким причинам:

          • Вы добавили пробел до или после SAN.
          • В предоставленной вами информации есть опечатка.
          • Вы вводите общее имя (CN) сертификата как SAN. В соответствии с правилами мы всегда будем добавлять ваше обычное имя в качестве SAN, его указывать не нужно.
          • Вы неправильно вводите SAN как поддомен, мультидоменное имя, внутреннюю SAN или IP-адрес. Вам необходимо выбрать правильный тип SAN, который применяется к SAN. Также проверьте приведенную выше информацию о различных SAN.

          Сертификат не является доверенным в веб-браузере

          После установки сертификата вы все еще можете получать сообщения о ненадежных ошибках в некоторых браузерах. Это происходит, когда не установлен промежуточный сертификат или по какой-то причине корневой сертификат GlobalSign отсутствует у клиента, подключающегося к вашему серверу. Этого не должно произойти, если только клиент не подвергся серьезной подделке — наши корневые сертификаты встроены практически во все современные операционные системы и приложения.

          Выполнение проверки работоспособности домена выявит отсутствующие промежуточные сертификаты. Если промежуточный сертификат отсутствует, используйте следующую ссылку, чтобы определить, какой промежуточный сертификат необходим в зависимости от типа продукта (DomainSSL, OrganizationSSL, ExtendedSSL, AlphaSSL и т. д.).

          Сообщение об ошибке «Переключиться с конкурента»

          При выборе варианта «перейти от конкурента» в нашей системе заказа сертификатов вы можете увидеть следующее сообщение об ошибке:

          Не удается получить доступ к серверу, на котором размещен ваш существующий сертификат, для подтверждения его действительности. Получите копию существующего сертификата и вставьте ее в поле ниже. Все конкурентные переключатели подлежат проверке группой проверки GlobalSign на соответствие доверенным эмитентам в хранилищах доверия браузеров. Если ваш сертификат не выдан действительным корневым сертификатом ЦС, он подлежит аннулированию и/или отзыву.

          Это сообщение об ошибке появляется, когда ваш текущий сертификат больше не действителен. Этот вариант следует выбирать только в том случае, если вы переключаетесь до истечения срока действия сертификата другой компании.
          Это сообщение об ошибке также может появиться, если ваш текущий сертификат не установлен в домене. В этом случае наша система не сможет определить действительность, поэтому вам следует снять этот флажок и выполнить обычный процесс оформления заказа.

          Если у вас есть действительный сертификат конкурента, который не установлен на сервере, вы можете вставить свой CSR в текстовое поле с помощью параметра «Переключиться с конкурента». См. изображение ниже.

          Наконец, это сообщение об ошибке может появиться, если вы установили сертификат на свой сервер, но CN не совпадает с именем домена. Например, это может произойти с сертификатом SAN. В этом случае просто снимите флажок «Перейти от конкурента» и выполните обычный процесс оформления заказа.

          Если вы переходите на GlobalSign, это прекрасно!Если вы считаете, что имеете право на 30 дней бесплатного действия, но не можете пройти этот процесс, просто свяжитесь с нами, и член команды свяжется с вами.

          Для получения дополнительной помощи по общим запросам на сертификаты SSL посетите страницу Общие SSL на нашем сайте поддержки.

          Ошибка сертификата SSL возникает, когда веб-браузер не может проверить сертификат SSL, установленный на сайте. Вместо того, чтобы подключать пользователей к вашему веб-сайту, браузер отображает сообщение об ошибке, предупреждая пользователей о том, что сайт может быть небезопасным.

          Сайты, которые не зашифрованы, могут столкнуться со снижением трафика или коэффициента конверсии. Мало того, что эти сайты отмечены как «Небезопасные» в Google Chrome, их также избегают 85 % интернет-покупателей.

          К счастью, многие хостинговые платформы, такие как CMS Hub и Squarespace, включают SSL-сертификат в свои планы, поэтому вам не нужно беспокоиться об его установке или продлении.

          Допустим, вы выбрали план, который включает сертификацию SSL, или установили сертификат на свой сайт. Затем вы открываете Google Chrome и пытаетесь посетить страницу своего сайта, и вместо загрузки страницы вы получаете сообщение «ERR_SSL_PROTOCOL_ERROR». Что дает?

          Это ошибка SSL.

          Это сообщение будет выглядеть по-разному в зависимости от двух факторов. Во-первых, это браузер, который вы используете. На предыдущем снимке экрана показано сообщение об ошибке в Google Chrome. На снимке экрана ниже показано сообщение, которое вы увидите в Internet Explorer.

          Второй фактор – тип возникающей ошибки SSL-сертификата. Давайте рассмотрим эти различные типы ниже.

          Типы ошибок SSL-сертификата

          Существует несколько различных типов ошибок SSL-сертификата, которые могут возникнуть на вашем сайте. Давайте рассмотрим наиболее распространенные из них.

          1. SSL-сертификат не доверен. Ошибка

          Эта ошибка указывает на то, что SSL-сертификат подписан или утвержден компанией, которой браузер не доверяет. Это означает, что либо компания, известная как центр сертификации (ЦС), не входит во встроенный в браузер список доверенных поставщиков сертификатов, либо сертификат был выпущен самим сервером. Сертификаты, выдаваемые сервером, часто называют самозаверяющими сертификатами.

          2. Ошибка несоответствия имени

          3. Ошибка смешанного содержания

          4. Ошибка с истекшим сроком действия SSL-сертификата

          Эта ошибка возникает, когда срок действия SSL-сертификата сайта истекает. Согласно отраслевым стандартам срок действия SSL-сертификатов не может превышать 398 дней. Это означает, что каждый веб-сайт должен обновлять или заменять свой SSL-сертификат не реже одного раза в два года.

          В противном случае, когда вы попытаетесь загрузить свой сайт, вы увидите ошибку, которая выглядит примерно так:

          5. Ошибка отзыва SSL-сертификата

          Эта ошибка указывает на то, что центр сертификации отменил или отозвал SSL-сертификат веб-сайта.Это может быть связано с тем, что веб-сайт получил сертификат с ложными учетными данными (случайно или намеренно), ключ был скомпрометирован или был выпущен неверный ключ. Эти проблемы приводят к следующему сообщению об ошибке:

          6. Общая ошибка протокола SSL

          Эту ошибку особенно сложно устранить, поскольку существует несколько возможных причин, в том числе:

          • сертификат SSL в неправильном формате, который браузер не может проанализировать.
          • сертификат, неправильно установленный на сервере.
          • неверная, непроверенная цифровая подпись или ее отсутствие.
          • использование устаревшего алгоритма шифрования.
          • брандмауэр или другое программное обеспечение безопасности, препятствующее защите SSL.
          • проблема в цепочке доверия сертификата, серии сертификатов, составляющих SSL-шифрование вашего сайта.

          В этих случаях вы увидите стандартное SSL-сообщение, подобное этому:

          Как исправить ошибку сертификата SSL

          1. Диагностируйте проблему с помощью онлайн-инструмента.

          Для начала используйте онлайн-инструмент, чтобы определить проблему, вызывающую ошибку SSL-сертификата на вашем сайте. Вы можете использовать такой инструмент, как SSL Checker, SSL Certificate Checker или SSL Server Test, который проверит, что SSL-сертификат установлен и срок его действия не истек, что доменное имя правильно указано в сертификате и т. д. Чтобы использовать этот инструмент, просто скопируйте и вставьте адрес своего сайта в строку поиска.

          2. Установите промежуточный сертификат на свой веб-сервер.

          Если проблема в том, что ваш центр сертификации не является доверенным, вам может потребоваться установить на веб-сервер хотя бы один промежуточный сертификат. Промежуточные сертификаты помогают браузерам установить, что сертификат веб-сайта был выдан действительным корневым центром сертификации.

          Некоторые провайдеры веб-хостинга, такие как GoDaddy, предлагают информацию об установке промежуточных сертификатов. Поэтому сначала убедитесь, что ваш веб-хостинг предлагает вариант или инструмент для получения промежуточного сертификата.

          Если нет, вам следует перепроверить сервер вашего веб-сайта и найти инструкции для вашего сервера. Допустим, вы установили сертификат SSL от популярного провайдера Namecheap на свой Microsoft Windows Server. Затем вы можете следовать этому пошаговому руководству, чтобы установить промежуточный сертификат.

          Если вы не используете Windows Server, инструкции для вашего сервера можно найти здесь.

          3. Создайте новый запрос на подпись сертификата (CSR).

          Если вы по-прежнему получаете сообщение об ошибке "Сертификат не является доверенным", возможно, вы неправильно установили сертификат. В этом случае вы можете сгенерировать новый CSR на своем сервере и повторно выпустить его у своего поставщика сертификатов. Шаги будут различаться в зависимости от вашего сервера. Вы можете проверить этот центр ссылок для создания CSR на разных серверах.

          4. Перейдите на выделенный IP-адрес.

          Если вы получаете сообщение об ошибке несоответствия имени, проблема может заключаться в вашем IP-адресе.

          Когда вы вводите свое доменное имя в браузер, он сначала подключается к IP-адресу вашего сайта, а затем переходит на ваш сайт. Обычно веб-сайт имеет собственный IP-адрес. Но если вы используете тип веб-хостинга, отличный от выделенного хостинга, ваш сайт может иметь общий IP-адрес с несколькими сайтами. Если на одном из этих веб-сайтов не установлен сертификат SSL, браузер может не знать, какой сайт он должен посетить, и отображать сообщение об ошибке несоответствия имени. Чтобы решить эту проблему, вы можете перейти на выделенный IP-адрес для своего сайта.

          5. Получите подстановочный SSL-сертификат.

          Если вы по-прежнему получаете сообщение об ошибке несоответствия имени, возможно, вам потребуется получить подстановочный SSL-сертификат. Этот тип сертификата позволит вам защитить несколько имен субдоменов, а также ваш корневой домен. Например, вы можете получить один многодоменный SSL-сертификат для всех следующих имен:

          7. Обновите сертификат SSL.

          Если срок действия вашего SSL-сертификата истек, вам придется немедленно обновить его. Детали процесса продления меняются в зависимости от используемого вами веб-хостинга или ЦС, но шаги остаются прежними. Вам потребуется создать CSR, активировать сертификат и установить его.

          Устранение недействительного SSL-сертификата

          Как мы видели, существует несколько возможных причин неработающего SSL-сертификата. Однако конечный результат для ваших посетителей одинаков — они увидят в окне браузера предупреждение о том, что веб-сайт, на который они собираются перейти, небезопасен.

          Конечно, это далеко не лучший вариант для вашей репутации, поэтому как можно скорее устраните проблему отсутствия шифрования. Если описанные выше методы не работают, мы рекомендуем связаться с вашим хостинг-провайдером, чтобы помочь вам устранить неполадки. Скорее всего, они уже сталкивались с такими проблемами, как ваша.

          Примечание редактора. Эта запись была первоначально опубликована в апреле 2020 года и обновлена ​​для полноты картины.

          Читайте также: