Общая ошибка при установке сертификата в хранилище ЭЦП
Обновлено: 21.11.2024
Веб-браузеры выводят следующие предупреждения при доступе к сайту, на котором установлен сертификат безопасности (для шифрования данных SSL/TLS), который не может быть проверен браузером.
Internet Explorer: "Сертификат безопасности, представленный этим веб-сайтом, не был выдан доверенным центром сертификации".
Firefox 3: «www.example.com использует недействительный сертификат безопасности. Сертификат не является доверенным, поскольку сертификат эмитента неизвестен». или "www.example.com использует недействительный сертификат безопасности. Сертификат не является доверенным, поскольку он самозаверяющий".
В браузеры встроен список доверенных поставщиков сертификатов (например, DigiCert). Для некоторых сайтов поставщик сертификатов отсутствует в этом списке. В этом случае браузер предупредит вас о том, что центр сертификации (ЦС), выдавший сертификат, не является доверенным. Эта проблема также может возникнуть, если на сайте есть самозаверяющий сертификат. Хотя это предупреждение является довольно общим для Internet Explorer, Firefox 3 различает сертификат, выданный самим сервером (самозаверяющий сертификат), и другой тип ненадежного сертификата.
Если у вас есть сертификат DigiCert и вы получаете эту ошибку, устраните проблему, используя разделы ниже. Вам не нужно ничего устанавливать на клиентских устройствах/приложениях, чтобы SSL-сертификат DigiCert работал правильно. Первый шаг — использовать наш тестер SSL-сертификатов, чтобы найти причину ошибки.
Получите сертификаты SSL Plus всего за 188 долларов США в год
Самоподписанные сертификаты
Одной из возможных причин этой ошибки является то, что на сервере установлен самозаверяющий сертификат. Браузеры не доверяют самозаверяющим сертификатам, поскольку они генерируются вашим сервером, а не ЦС. Вы можете определить, является ли сертификат самозаверяющим, если ЦС не указан в поле эмитента в нашем тестере SSL-сертификатов.
Если вы обнаружили на своем сервере самозаверяющий сертификат после установки сертификата DigiCert, мы рекомендуем вам ознакомиться с инструкциями по установке и убедиться, что вы выполнили все шаги.
Если вы выполнили все шаги установки, но проблема не устранена, вам следует сгенерировать новый CSR на своем сервере (см. инструкции по созданию CSR), а затем повторно выпустить сертификат в своей учетной записи DigiCert, войдя в систему и щелкнув заказ. номер, а затем нажмите на ссылку повторного выпуска.
Проблемы промежуточного сертификата
Самая распространенная причина ошибки "сертификат не доверенный" заключается в том, что установка сертификата не была правильно завершена на сервере (или серверах), на котором размещен сайт. Используйте наш тестер SSL-сертификатов, чтобы проверить наличие этой проблемы. В тестере при незавершенной установке отображается один файл сертификата и красная цепочка с разрывом.
Чтобы решить эту проблему, установите файл промежуточного сертификата (или цепного сертификата) на сервер, на котором размещен ваш веб-сайт. Для этого войдите в консоль управления DigiCert, щелкните номер заказа, а затем выберите ссылку для загрузки сертификата. Этот файл должен называться DigiCertCA.crt. Затем следуйте инструкциям по установке для вашего сервера, чтобы установить файл промежуточного сертификата.
После импорта промежуточного сертификата снова проверьте установку с помощью тестера сертификатов SSL. В тестере незавершенная установка показывает несколько файлов сертификатов, соединенных непрерывной синей цепочкой.
Проблемы промежуточного сертификата (дополнительно)
Если вы получаете сообщение об ошибке при использовании нашего тестера SSL-сертификатов, вы используете сервер Windows, а эмитент вашего сертификата указан как "DigiCert High Assurance EV CA-3", инструкции по устранению неполадок при установке SSL см. в этой статье. .
Ниже приведены еще несколько предупреждающих сообщений для разных браузеров.
Internet Explorer 6: «Информация, которой вы обмениваетесь с этим сайтом, не может быть просмотрена или изменена другими лицами. Однако существует проблема с сертификатом безопасности сайта. Сертификат безопасности был выпущен компанией, которой вы не доверяете. Посмотреть сертификат, чтобы определить, хотите ли вы доверять центру сертификации. Продолжить?"
Internet Explorer 7: "Сертификат безопасности, представленный этим веб-сайтом, не был выпущен доверенным центром сертификации. Проблемы с сертификатом безопасности могут указывать на попытку обмануть вас или перехватить любые данные, которые вы отправляете на сервер".
Сбой развертывания приложения может быть вызван сбоем проверки цифровой подписи пакета приложения. Узнайте, как распознать эти сбои и что с ними делать.
При развертывании упакованного приложения Windows Windows всегда пытается проверить цифровую подпись пакета приложения. Сбои во время проверки подписи блокируют развертывание пакета. Но почему пакет не прошел проверку, может быть не очевидно.В частности, если вы подписываете свои пакеты частными сертификатами для локального тестирования, вам часто также приходится управлять доверием для этих сертификатов. Неправильная конфигурация доверия сертификатов может привести к сбоям проверки подписи.
Что вам нужно знать
Технологии
Предпосылки
-
для диагностики ошибок установки. для манипулирования хранилищем сертификатов во время устранения неполадок
Инструкции
Шаг 1. Изучите журналы событий для получения диагностической информации
В зависимости от того, как вы пытались развернуть приложение, вы могли не получить значимого кода ошибки для сбоя развертывания. В этом случае код ошибки обычно можно получить непосредственно из журналов событий.
Чтобы получить код ошибки из журналов событий
Запустите файл eventvwr.msc.
Выберите Средство просмотра событий (локальное) > Журналы приложений и служб > Microsoft > Windows.
Первый журнал для проверки — AppxPackagingOM > Microsoft-Windows-AppxPackaging/Operational.
Ошибки, связанные с развертыванием, записываются в AppXDeployment-Server > Microsoft-Windows-AppXDeploymentServer/Operational.
Чтобы узнать об ошибках развертывания, найдите самое последнее событие ошибки 404. Это событие ошибки содержит код ошибки и описание причины сбоя развертывания. Если событие ошибки 465 предшествовало событию 404, возникла проблема с открытием пакета.
Если ошибка 465 не возникла, см. общие сведения об устранении неполадок при упаковке, развертывании и запросе приложений для Windows. В противном случае см. в этой таблице распространенные коды ошибок, которые могут отображаться в строке ошибки для события ошибки 465:
| Код ошибки | Ошибка | Описание | Предложение |
|---|---|---|---|
| 0x80073CF0 | ERROR_INSTALL_OPEN_PACKAGE_FAILED | Не удалось открыть пакет приложения. | Эта ошибка обычно указывает на проблему с пакетом. Вам нужно снова собрать и подписать пакет. Дополнительные сведения см. в разделе Использование App Packager. |
| 0x80080205 | APPX_E_INVALID_BLOCKMAP | Пакет приложения был изменен или имеет недопустимый карта блоков. | Пакет поврежден. Вам нужно снова собрать и подписать пакет. Дополнительные сведения см. в разделе Использование App Packager. |
| 0x800B0004 | TRUST_E_SUBJECT_NOT_TRUSTED | Пакет приложения был изменен. | Содержимое пакета больше не соответствует его цифровой подписи. Вам нужно снова подписать пакет. Дополнительные сведения см. в разделе Как подписать пакет приложения с помощью SignTool. |
| 0x800B0100 | TRUST_E_NOSIGNATURE | Пакет приложения не подписан. | Можно развертывать только подписанные пакеты приложений Windows. Сведения о подписании пакета приложения см. в разделе Как подписать пакет приложения с помощью SignTool. |
| 0x800B0109 | CERT_E_UNTRUSTED_ROOT | Сертификат цепочка, которая использовалась для подписи пакета приложения, заканчивается корневым сертификатом, которому не доверяют. | Перейдите к шагу 2, чтобы устранить неполадки с доверием сертификата. |
| 0x800B010A | CERT_E_CHAINING | Не удалось построить цепочку сертификатов для доверенного корневого центра сертификации из сертификата, который использовался для подписи пакета приложения. | Перейти к шагу 2 для устранения неполадок с доверием сертификатов. |
Шаг 2. Определите цепочку сертификатов, используемую для подписи пакета приложения
Чтобы выяснить, каким сертификатам должен доверять локальный компьютер, можно проверить цепочку сертификатов на наличие цифровой подписи в пакете приложения.
Чтобы определить цепочку сертификатов
- В проводнике щелкните правой кнопкой мыши пакет приложения и выберите "Свойства".
- В диалоговом окне "Свойства" выберите вкладку "Цифровые подписи", на которой также отображается возможность проверки подписи.
- В списке Подпись выберите подпись и нажмите кнопку Подробности.
- В диалоговом окне "Сведения о цифровой подписи" нажмите кнопку "Просмотреть сертификат".
- В диалоговом окне "Сертификат" выберите вкладку "Путь сертификации".
Верхний сертификат в цепочке — это корневой сертификат, а нижний — сертификат подписи. Если в цепочке находится только один сертификат, сертификат подписи также является собственным корневым сертификатом. Вы можете определить серийный номер для каждого сертификата, который затем будете использовать с Certutil:
Чтобы определить серийный номер для каждого сертификата
- На панели "Путь сертификации" выберите сертификат и нажмите "Просмотреть сертификат".
- В диалоговом окне "Сертификат" выберите вкладку "Сведения", на которой отображается серийный номер и другие полезные свойства сертификата.
Шаг 3. Определите сертификаты, которым доверяет локальный компьютер
Чтобы можно было развернуть пакет приложения, он должен быть доверенным не только в контексте пользователя, но и в контексте локального компьютера.В результате цифровая подпись может казаться действительной при просмотре на вкладке «Цифровые подписи» на предыдущем шаге, но при этом не пройти проверку во время развертывания пакета приложения.
Чтобы определить, является ли цепочка сертификатов, используемая для подписи пакета приложения, особым доверием локального компьютера
Выполните эту команду:
Выполните эту команду:
Если вы не укажете серийный номер сертификата, Certutil перечислит все сертификаты, которым доверяет локальный компьютер для этого хранилища.
Пакет может не установиться из-за ошибок цепочки сертификатов, даже если подписывающий сертификат не является самоподписанным, а корневой сертификат находится в корневом хранилище локального компьютера. В этом случае может возникнуть проблема с доверием к промежуточным центрам сертификации. Дополнительные сведения об этой проблеме см. в разделе Работа с сертификатами.
Примечания
Если вы определили, что пакет нельзя развернуть, поскольку сертификату подписи не доверяют, не устанавливайте пакет, если вы не знаете, откуда он взялся, и не доверяете ему.
Если вы хотите вручную доверять приложению для установки (например, чтобы установить собственный пакет приложения с тестовой подписью), вы можете вручную добавить сертификат в доверие сертификатов локального компьютера из пакета приложения.
Чтобы вручную добавить сертификат в доверие сертификатов локального компьютера
- В проводнике щелкните правой кнопкой мыши пакет приложения и во всплывающем контекстном меню выберите "Свойства".
- В диалоговом окне "Свойства" выберите вкладку "Цифровые подписи".
- В списке Подпись выберите подпись и нажмите кнопку Подробности.
- В диалоговом окне "Сведения о цифровой подписи" нажмите кнопку "Просмотреть сертификат".
- В диалоговом окне "Сертификат" нажмите кнопку "Установить сертификат...".
- В мастере импорта сертификатов выберите «Локальный компьютер» и нажмите «Далее». Для продолжения вам потребуется предоставить права администратора.
- Выберите Поместить все сертификаты в следующее хранилище и перейдите в хранилище доверенных лиц.
- Нажмите "Далее", затем нажмите "Готово", чтобы завершить работу мастера.
После этого добавления вручную вы можете увидеть, что сертификат теперь является доверенным в диалоговом окне "Сертификат".
Вы можете удалить сертификат, если он вам больше не нужен.
Чтобы удалить сертификат
Запустите Cmd.exe от имени администратора.
В командной строке администратора выполните следующую команду:
Найдите серийный номер сертификата, который вы установили. Этот номер является certID.
Выполните эту команду:
Мы рекомендуем не добавлять корневые сертификаты вручную в хранилище сертификатов доверенных корневых центров сертификации на локальном компьютере. Наличие нескольких приложений, подписанных с помощью сертификатов, связанных с одним и тем же корневым сертификатом, например линейки бизнес-приложений, может быть более эффективным, чем установка отдельных сертификатов в хранилище доверенных лиц. Хранилище доверенных лиц содержит сертификаты, которые считаются доверенными по умолчанию и поэтому не проверяются вышестоящими органами или списками или цепочками доверия сертификатов. Дополнительные сведения о добавлении сертификатов в хранилище сертификатов доверенных корневых центров сертификации см. в разделе Рекомендации по подписыванию кода.
Вопросы безопасности
Добавляя сертификат в хранилище сертификатов локального компьютера, вы влияете на доверие сертификатов всех пользователей на компьютере. Мы рекомендуем установить все сертификаты для подписи кода, необходимые для тестирования пакетов приложений, в хранилище сертификатов доверенных лиц. Незамедлительно удаляйте эти сертификаты, когда они больше не нужны, чтобы предотвратить их использование для нарушения доверия к системе. Если вы создаете собственные тестовые сертификаты для подписи пакетов приложений, мы также рекомендуем вам ограничить привилегии, связанные с тестовым сертификатом. Сведения о создании тестовых сертификатов для подписания пакетов приложений см. в разделе Как создать сертификат для подписи пакетов приложений.
Примечание редактора. Первоначально этот блог был опубликован в сентябре 2016 года. Он был проверен на предмет ясности и точности менеджером по продукции GlobalSign Себастьяном Шульцем и соответствующим образом обновлен.
Иногда даже ветераны PKI сталкиваются с трудностями при заказе или установке сертификатов SSL/TLS. Это не говорит об отсутствии знаний — скорее, эти процессы могут привести к ранее невиданным ошибкам. Заказ нужного сертификата, создание CSR, его загрузка, установка и проверка на предмет отсутствия проблем — все это области, в которых можно столкнуться с ошибками.
Мы хотим максимально упростить процесс от начала до конца. По этой причине мы собрали наши основные запросы и проблемы, с которыми клиенты могут столкнуться во время заказа или установки.Мы надеемся, что этот блог поможет вам избежать этих ловушек и сократить время до завершения, но если у вас есть проблема, которую вы не можете решить с помощью этого блога, вы все равно можете просмотреть базу знаний службы поддержки GlobalSign или отправить заявку.
Выбор правильного метода утверждения
Примечание. При заказе SSL-сертификата в нашей системе нельзя изменить выбранные методы подтверждения.
Электронная почта утверждающего
При размещении заказа вы можете выбрать один из следующих адресов электронной почты, чтобы мы могли подтвердить ваш домен:
На выбранный адрес будет отправлено электронное письмо, и после его получения вы сможете щелкнуть ссылку, чтобы подтвердить, что домен принадлежит вам.
Примечание. Убедитесь, что вы выбрали правильный вариант, иначе вам придется отменить заказ и создать новый.
ПРИМЕЧАНИЕ. Специальную статью о поддержке, которая поможет вам пройти проверку домена по электронной почте утверждающего, можно найти здесь.
Наша система проверки сможет обнаружить метатег на странице и подтвердить право собственности на домен. Однако наша система не может проверить домен, если он перенаправляет на другую страницу, поэтому обязательно отключите все перенаправления.
Запись TXT DNS
Примечание. Специальную статью о поддержке, которая поможет вам пройти проверку домена с помощью записи DNS TXT, можно найти здесь.
Отсутствует закрытый ключ
Для заказа сертификата SSL/TLS требуется отправить CSR, а для создания CSR необходимо создать закрытый ключ. Ваш закрытый ключ, соответствующий вашему сертификату, обычно находится в том же каталоге, в котором был создан CSR. Если закрытый ключ больше не хранится на вашем компьютере (утерян), сертификат необходимо будет повторно выпустить с новым CSR и, следовательно, с вновь созданным закрытым ключом.
Примеры сообщений об ошибках/ситуаций, указывающих на отсутствие закрытого ключа:
Каким бы удобным это ни казалось, мы не рекомендуем использовать онлайн-инструменты для создания CSR. У них также будет ваш закрытый ключ, а это означает, что безопасность вашего сервера может быть скомпрометирована в будущем.
Примечание. Мы предлагаем множество руководств, которые помогут вам создать закрытые ключи и CSR.
Совместимость с сетью хранения данных
При наличии альтернативного имени субъекта или сертификата SAN перед оформлением заказа следует учесть несколько моментов:
Информацию о совместимости различных типов SAN с различными продуктами см. в таблице ниже:
Недействительный CSR
Если вы создаете CSR продления, вам необходимо убедиться, что общее имя совпадает с именем исходного CSR. Новый CSR не будет таким же, поскольку закрытый ключ должен быть другим. Вы не можете снова использовать тот же CSR, даже если это кажется удобным.
Вы можете протестировать CSR с помощью декодера на вкладке Managed SSL ваших учетных записей GlobalSign. Если у вас его нет, вы можете безопасно использовать онлайн-ресурсы для проверки своего CSR, если вы не делитесь своим закрытым ключом, вам не нужно беспокоиться об их безопасности. Если в начале/конце запроса сертификата есть лишние пробелы или слишком много или слишком мало дефисов, CSR станет недействительным.
-----НАЧАТЬ ЗАПРОС СЕРТИФИКАТА-----
-----КОНЕЦ ЗАПРОСА СЕРТИФИКАТА-----
Введенное вами обычное имя не соответствует базовому варианту
Ошибка дублирования ключа
Эта ошибка появляется, когда вы используете закрытый ключ, который уже использовался. Закрытый ключ и CSR должны использоваться только ОДИН РАЗ.
Вы должны сгенерировать новый закрытый ключ и CSR на своем сервере и повторно отправить новый CSR. Причина, по которой SSL/TLS-сертификаты имеют максимальную действительность (и этот сертификат неоднократно обрывается), заключается в стремлении обеспечить частый обмен ключами, что снижает риск необнаруженной компрометации.
Состояние заказа уже изменено
Это сообщение об ошибке обычно появляется, когда срок действия вашего заказа истек. Вы должны начать процесс заказа с нуля и сообщить нам, если проблема не устранена. Если это так, нам нужно провести дополнительные проверки вашего аккаунта.
ПРИМЕЧАНИЕ. Это сообщение об ошибке также может быть вызвано неправильно указанными SAN. Например, если CN — «www.domain.com», а поддомен указан как «domain.domain2.com», что указывает на отдельное полное доменное имя. Ознакомьтесь с приведенной выше информацией о SAN для получения разъяснений.
Введенные параметры SAN не соответствуют параметрам SAN исходного сертификата
Эта проблема может возникнуть по нескольким причинам:
- Вы добавили пробел до или после SAN.
- В предоставленной вами информации есть опечатка.
- Вы вводите общее имя (CN) сертификата как SAN. В соответствии с правилами мы всегда будем добавлять ваше обычное имя в качестве SAN, его указывать не нужно.
- Вы неправильно вводите SAN как поддомен, мультидоменное имя, внутреннюю SAN или IP-адрес. Вам необходимо выбрать правильный тип SAN, который применяется к SAN. Также проверьте приведенную выше информацию о различных SAN.
Сертификат не является доверенным в веб-браузере
После установки сертификата вы все еще можете получать сообщения о ненадежных ошибках в некоторых браузерах. Это происходит, когда не установлен промежуточный сертификат или по какой-то причине корневой сертификат GlobalSign отсутствует у клиента, подключающегося к вашему серверу. Этого не должно произойти, если только клиент не подвергся серьезной подделке — наши корневые сертификаты встроены практически во все современные операционные системы и приложения.
Выполнение проверки работоспособности домена выявит отсутствующие промежуточные сертификаты. Если промежуточный сертификат отсутствует, используйте следующую ссылку, чтобы определить, какой промежуточный сертификат необходим в зависимости от типа продукта (DomainSSL, OrganizationSSL, ExtendedSSL, AlphaSSL и т. д.).
Сообщение об ошибке «Переключиться с конкурента»
При выборе варианта «перейти от конкурента» в нашей системе заказа сертификатов вы можете увидеть следующее сообщение об ошибке:
Не удается получить доступ к серверу, на котором размещен ваш существующий сертификат, для подтверждения его действительности. Получите копию существующего сертификата и вставьте ее в поле ниже. Все конкурентные переключатели подлежат проверке группой проверки GlobalSign на соответствие доверенным эмитентам в хранилищах доверия браузеров. Если ваш сертификат не выдан действительным корневым сертификатом ЦС, он подлежит аннулированию и/или отзыву.
Это сообщение об ошибке появляется, когда ваш текущий сертификат больше не действителен. Этот вариант следует выбирать только в том случае, если вы переключаетесь до истечения срока действия сертификата другой компании.
Это сообщение об ошибке также может появиться, если ваш текущий сертификат не установлен в домене. В этом случае наша система не сможет определить действительность, поэтому вам следует снять этот флажок и выполнить обычный процесс оформления заказа.
Если у вас есть действительный сертификат конкурента, который не установлен на сервере, вы можете вставить свой CSR в текстовое поле с помощью параметра «Переключиться с конкурента». См. изображение ниже.
Наконец, это сообщение об ошибке может появиться, если вы установили сертификат на свой сервер, но CN не совпадает с именем домена. Например, это может произойти с сертификатом SAN. В этом случае просто снимите флажок «Перейти от конкурента» и выполните обычный процесс оформления заказа.
Если вы переходите на GlobalSign, это прекрасно! Если вы считаете, что имеете право на 30 дней бесплатного действия, но не можете пройти этот процесс, просто свяжитесь с нами, и член команды свяжется с вами.
Для получения дополнительной помощи по общим запросам на сертификаты SSL посетите страницу Общие SSL на нашем сайте поддержки.
Сегодня в Интернете насчитывается более 170 миллионов веб-сайтов с SSL-сертификатом, и ожидается, что это число будет увеличиваться по мере того, как все больше поисковых систем и потребителей отдают предпочтение этим сайтам.
Сертификат SSL делает ваш сайт более надежным. Ошибка SSL делает обратное. И если клиенты больше не доверяют вам, вы можете ожидать, что они обратятся к конкуренту, которому они действительно могут доверять.
В этом посте мы обсудим, что означает эта ошибка и что может быть ее причиной. Затем мы рассмотрим различные шаги, которые вы можете предпринять, чтобы устранить ошибку и снова запустить свой сайт. Или вы можете выбрать CMS с SSL-сертификатом, как это делает Free CMS Hub.
Что такое ошибка сертификата SSL?
Ошибка сертификата SSL возникает, когда веб-браузер не может проверить сертификат SSL, установленный на сайте. Вместо того, чтобы подключать пользователей к вашему веб-сайту, браузер отображает сообщение об ошибке, предупреждая пользователей о том, что сайт может быть небезопасным.
Сайты, которые не зашифрованы, могут столкнуться со снижением трафика или коэффициента конверсии. Мало того, что эти сайты отмечены как «Небезопасные» в Google Chrome, их также избегают 85 % интернет-покупателей.
К счастью, многие хостинговые платформы, такие как CMS Hub и Squarespace, включают SSL-сертификат в свои планы, поэтому вам не нужно беспокоиться об его установке или продлении.
Допустим, вы выбрали план, который включает сертификацию SSL, или установили сертификат на свой сайт. Затем вы открываете Google Chrome и пытаетесь посетить страницу своего сайта, и вместо загрузки страницы вы получаете сообщение «ERR_SSL_PROTOCOL_ERROR». Что дает?
Это ошибка SSL.
Это сообщение будет выглядеть по-разному в зависимости от двух факторов. Во-первых, это браузер, который вы используете. На предыдущем снимке экрана показано сообщение об ошибке в Google Chrome. На снимке экрана ниже показано сообщение, которое вы увидите в Internet Explorer.
Второй фактор – тип возникающей ошибки SSL-сертификата. Давайте рассмотрим эти различные типы ниже.
Типы ошибок SSL-сертификата
Существует несколько различных типов ошибок SSL-сертификата, которые могут возникнуть на вашем сайте. Давайте рассмотрим наиболее распространенные из них.
1. SSL-сертификат не доверен. Ошибка
Эта ошибка указывает на то, что SSL-сертификат подписан или утвержден компанией, которой браузер не доверяет. Это означает, что либо компания, известная как центр сертификации (ЦС), не входит во встроенный в браузер список доверенных поставщиков сертификатов, либо сертификат был выпущен самим сервером. Сертификаты, выдаваемые сервером, часто называют самозаверяющими сертификатами.
2. Ошибка несоответствия имени
3. Ошибка смешанного содержания
4. Ошибка с истекшим сроком действия SSL-сертификата
Эта ошибка возникает, когда срок действия SSL-сертификата сайта истекает. Согласно отраслевым стандартам срок действия SSL-сертификатов не может превышать 398 дней. Это означает, что каждый веб-сайт должен обновлять или заменять свой SSL-сертификат не реже одного раза в два года.
В противном случае, когда вы попытаетесь загрузить свой сайт, вы увидите ошибку, которая выглядит примерно так:
5. Ошибка отзыва SSL-сертификата
Эта ошибка указывает на то, что центр сертификации отменил или отозвал SSL-сертификат веб-сайта. Это может быть связано с тем, что веб-сайт получил сертификат с ложными учетными данными (случайно или намеренно), ключ был скомпрометирован или был выпущен неверный ключ. Эти проблемы приводят к следующему сообщению об ошибке:
6. Общая ошибка протокола SSL
Эту ошибку особенно сложно устранить, поскольку существует несколько возможных причин, в том числе:
- сертификат SSL в неправильном формате, который браузер не может проанализировать.
- сертификат, неправильно установленный на сервере.
- неверная, непроверенная цифровая подпись или ее отсутствие.
- использование устаревшего алгоритма шифрования.
- брандмауэр или другое программное обеспечение безопасности, препятствующее защите SSL.
- проблема в цепочке доверия сертификата, серии сертификатов, составляющих SSL-шифрование вашего сайта.
В этих случаях вы увидите стандартное SSL-сообщение, подобное этому:
Как исправить ошибку сертификата SSL
1. Диагностируйте проблему с помощью онлайн-инструмента.
Для начала используйте онлайн-инструмент, чтобы определить проблему, вызывающую ошибку SSL-сертификата на вашем сайте. Вы можете использовать такой инструмент, как SSL Checker, SSL Certificate Checker или SSL Server Test, который проверит, установлен ли SSL-сертификат и срок его действия не истек, что доменное имя правильно указано в сертификате и т. д. Чтобы использовать этот инструмент, просто скопируйте и вставьте адрес своего сайта в строку поиска.
2. Установите промежуточный сертификат на свой веб-сервер.
Если проблема в том, что ваш центр сертификации не является доверенным, вам может потребоваться установить на веб-сервер хотя бы один промежуточный сертификат. Промежуточные сертификаты помогают браузерам установить, что сертификат веб-сайта был выдан действительным корневым центром сертификации.
Некоторые провайдеры веб-хостинга, такие как GoDaddy, предлагают информацию об установке промежуточных сертификатов. Поэтому сначала убедитесь, что ваш веб-хостинг предлагает вариант или инструмент для получения промежуточного сертификата.
Если нет, вам следует перепроверить сервер вашего веб-сайта и найти инструкции для вашего сервера. Допустим, вы установили сертификат SSL от популярного провайдера Namecheap на свой Microsoft Windows Server. Затем вы можете следовать этому пошаговому руководству, чтобы установить промежуточный сертификат.
Если вы не используете Windows Server, инструкции для вашего сервера можно найти здесь.
3. Создайте новый запрос на подпись сертификата (CSR).
Если вы по-прежнему получаете сообщение об ошибке "Сертификат не является доверенным", возможно, вы неправильно установили сертификат. В этом случае вы можете сгенерировать новый CSR на своем сервере и повторно выпустить его у своего поставщика сертификатов. Шаги будут различаться в зависимости от вашего сервера. Вы можете проверить этот центр ссылок для создания CSR на разных серверах.
4. Перейдите на выделенный IP-адрес.
Если вы получаете сообщение об ошибке несоответствия имени, проблема может заключаться в вашем IP-адресе.
Когда вы вводите свое доменное имя в браузер, он сначала подключается к IP-адресу вашего сайта, а затем переходит на ваш сайт. Обычно веб-сайт имеет собственный IP-адрес. Но если вы используете тип веб-хостинга, отличный от выделенного хостинга, ваш сайт может иметь общий IP-адрес с несколькими сайтами. Если на одном из этих веб-сайтов не установлен сертификат SSL, браузер может не знать, какой сайт он должен посетить, и отображать сообщение об ошибке несоответствия имени. Чтобы решить эту проблему, вы можете перейти на выделенный IP-адрес для своего сайта.
5. Получите подстановочный SSL-сертификат.
Если вы по-прежнему получаете сообщение об ошибке несоответствия имени, возможно, вам потребуется получить подстановочный SSL-сертификат. Этот тип сертификата позволит вам защитить несколько имен субдоменов, а также ваш корневой домен. Например, вы можете получить один многодоменный SSL-сертификат для всех следующих имен:
7. Обновите сертификат SSL.
Если срок действия вашего SSL-сертификата истек, вам придется немедленно обновить его. Детали процесса продления меняются в зависимости от используемого вами веб-хостинга или ЦС, но шаги остаются прежними. Вам потребуется создать CSR, активировать сертификат и установить его.
Устранение недействительного SSL-сертификата
Как мы видели, существует несколько возможных причин неработающего SSL-сертификата. Однако конечный результат для ваших посетителей одинаков — они увидят в окне браузера предупреждение о том, что веб-сайт, на который они собираются перейти, небезопасен.
Конечно, это далеко не лучший вариант для вашей репутации, поэтому как можно скорее устраните проблему отсутствия шифрования. Если описанные выше методы не работают, мы рекомендуем связаться с вашим хостинг-провайдером, чтобы помочь вам устранить неполадки. Скорее всего, они уже сталкивались с такими проблемами, как ваша.
Примечание редактора. Эта запись была первоначально опубликована в апреле 2020 года и обновлена для полноты картины.
Инструкции по исправлению ошибок цепочки промежуточных сертификатов
Как выглядит ошибка промежуточного сертификата?
При использовании инструмента диагностики установки SSL DigiCert® для проверки установки сертификата SSL вы можете получить одну из следующих ошибок промежуточного сертификата:
"Сервер отправляет не все необходимые промежуточные сертификаты."
"Ваш сервер отправляет слишком много промежуточных сертификатов."
К счастью, обе эти проблемы можно устранить с помощью утилиты DigiCert® Certificate Utility для Windows.
Использование утилиты сертификатов DigiCert для исправления ошибок цепочки сертификатов
На сервере Windows, где установлен ваш SSL-сертификат, загрузите и сохраните исполняемый файл DigiCert® Certificate Utility для Windows (DigiCertUtil.exe).
Запустите утилиту сертификатов DigiCert® для Windows (дважды щелкните DigiCertUtil).
Внимание! Эту утилиту следует запускать только на сервере Windows. Если эта утилита запущена на обычном компьютере с Windows, потенциально это может привести к ошибкам сертификата SSL при просмотре.
В программе DigiCert Certificate Utility для Windows© нажмите SSL (золотой замок), выберите сертификат, который нужно восстановить, и нажмите Восстановить сертификат.
В окне "Вы хотите восстановить цепочку сертификатов" нажмите "Да", чтобы восстановить цепочку сертификатов.
После получения сообщения "Этот сертификат успешно восстановлен" нажмите кнопку "ОК".
Перезагрузите сервер или заставьте сервер очистить текущую цепочку сертификатов из памяти и перезагрузите ее.
Примечание. Если после восстановления SSL-сертификата и перезагрузки сервера вы по-прежнему получаете сообщения об ошибках промежуточного сертификата, вам может потребоваться принудительно удалить текущую цепочку сертификатов из памяти и перезагрузить ее.
Перенастройте сертификат для вашего веб-сайта IIS или домена Exchange
Если после выполнения соответствующих инструкций по перенастройке вашего программного обеспечения для использования сертификата и/или перезагрузке сервера вы по-прежнему сталкиваетесь с проблемами, см. раздел Устранение ошибок сертификата.
Для серверов IIS 10
Откройте диспетчер информационных служб Интернета (IIS).
В меню "Пуск" Windows введите Диспетчер информационных служб Интернета (IIS) и откройте его.
В диспетчере информационных служб Интернета (IIS) в дереве меню "Подключения" (левая панель) разверните имя сервера, разверните узел "Сайты" и щелкните сайт или домен.
В меню "Действия" (правая панель) в разделе "Редактировать сайт" нажмите "Привязки".
В окне "Редактировать привязку к сайту" обратите внимание на следующие параметры:
- Тип
- IP-адрес
- Порт
- Имя хоста (при использовании индикации имени сервера [SNI])
- Требуется указание имени сервера (при использовании указания имени сервера [SNI])
- Сертификат SSL
После записи информации нажмите «Отмена».
Теперь в окне "Привязки сайта" нажмите "Добавить".
Используйте информацию, собранную до удаления привязки, для повторного заполнения полей в окне "Добавить привязку сайта".
Чтобы убедиться, что сертификат теперь указан правильно, введите общее имя сертификата или SAN в средстве диагностики установки DigiCert® SSL.
Для серверов IIS 8
Откройте диспетчер информационных служб Интернета (IIS).
На начальном экране введите и щелкните Диспетчер информационных служб Интернета (IIS).
В диспетчере информационных служб Интернета (IIS) в разделе "Подключения" разверните имя сервера, разверните узел "Сайты" и щелкните сайт или домен.
В меню "Действия" в разделе "Редактировать сайт" нажмите "Привязки".
В окне "Редактировать привязку к сайту" обратите внимание на следующие параметры:
Имя хоста (при использовании указания имени сервера)
Требовать указания имени сервера (если используется указание имени сервера)
SSL-сертификат
После записи информации нажмите «Отмена».
Теперь нажмите "Добавить".
Используйте информацию, собранную до удаления привязки, для повторного заполнения полей в окне "Добавить привязку сайта".
Чтобы убедиться, что сертификат теперь указан правильно, введите общее имя сертификата или SAN в средстве диагностики установки DigiCert® SSL.
Для серверов IIS 7
Откройте Диспетчер информационных служб Интернета (IIS) ("Пуск" > "Администрирование" > "Диспетчер информационных служб Интернета").
В диспетчере информационных служб Интернета (IIS) в разделе "Подключения" разверните имя сервера, разверните узел "Сайты" и выберите сайт или домен.
В меню "Действия" в разделе "Редактировать сайт" нажмите "Привязки".
В окне "Редактировать привязку к сайту" обратите внимание на следующие параметры:
SSL-сертификат
После записи информации нажмите «Отмена».
Теперь нажмите "Добавить".
В окне "Добавить привязку к сайту" используйте информацию, которую вы собрали до удаления привязки, чтобы повторно заполнить поля.
Когда закончите, нажмите "ОК", а затем "Закрыть".
Чтобы убедиться, что сертификат теперь указан правильно, введите общее имя сертификата или SAN в средстве диагностики установки DigiCert® SSL.
Для серверов IIS 6
Откройте диспетчер информационных служб Интернета (IIS).
В меню "Пуск" выберите "Администрирование" > "Диспетчер информационных служб Интернета (IIS)".
В Internet Information Services Manager в дереве навигации слева разверните имя своего сервера, разверните Сайты, а затем щелкните сайт правой кнопкой мыши и выберите Свойства.
В окне "Свойства" на вкладке "Безопасность каталога" нажмите "Сертификат сервера".
Нажмите «Удалить текущий сертификат», затем следуйте указаниям мастера, чтобы удалить сертификат.
Это удаляет сертификат, назначенный вашему веб-сайту, но сертификат остается на вашем сервере.
Теперь в окне "Свойства" на вкладке "Безопасность каталога" нажмите "Сертификат сервера", перейдите в мастер и выберите "Назначить существующий сертификат" и повторно выберите сертификат, который вы только что удалили.
/ Чтобы убедиться, что сертификат теперь указан правильно, введите общее имя сертификата или SAN в средстве диагностики установки DigiCert® SSL.
Для серверов Exchange 2013
В Центре администрирования Exchange в меню слева выберите Серверы, а затем в меню в верхней части раздела Серверы выберите Сертификаты.
В разделе "Сертификаты" выберите сертификат, а затем нажмите значок "Изменить" (карандаш).
На странице "Сертификат" в меню слева выберите Службы.
В разделе Укажите службы, которым вы хотите назначить этот сертификат, обратите внимание на службы (например, SMTP, IMAP, POP). и IIS), которые вы включили для своего SSL-сертификата. Затем снимите все службы и нажмите "Сохранить".
Теперь нажмите значок "Редактировать" (карандаш) на странице "Сертификаты", в меню слева нажмите "Услуги".
В разделе Укажите службы, которым вы хотите назначить этот сертификат, повторно включите службы для вашего SSL-сертификата.
Чтобы убедиться, что сертификат теперь указан правильно, введите имя, которое клиенты используют для доступа к почте, в средстве диагностики установки DigiCert® SSL.
Для серверов Exchange 2010
Откройте консоль управления Exchange (Microsoft Exchange 2010 > Консоль управления Exchange).
В центральной части консоли управления Exchange нажмите "Управление базами данных".
В дереве навигации слева разверните Microsoft Exchange On-Premises, а затем выберите Конфигурация сервера.
В центральной части в разделе "Сертификаты Exchange" выберите сертификат, а затем в меню "Действия" справа нажмите "Назначить службы сертификату".
Далее выберите свой сервер из предоставленного списка и нажмите кнопку Далее.
Обратите внимание на службы (например, SMTP, IMAP, POP и IIS), которые вы включили. для вашего SSL-сертификата. Затем снимите все службы и завершите работу мастера.
Теперь нажмите «Назначить службы сертификату» и переназначьте службы для вашего сертификата.
Чтобы проверить свой сертификат и убедиться, что это устранило проблему, введите имя, которое клиенты используют для доступа к почте, в средстве диагностики установки DigiCert® SSL.
Для серверов Exchange 2007
Получить отпечаток сертификата
Запустите утилиту сертификатов DigiCert® для Windows.
Дважды щелкните DigiCertUtil.
В программе DigiCert Certificate Utility для Windows© выберите SSL (золотой замок), щелкните правой кнопкой мыши свой сертификат и выберите Скопировать отпечаток в буфер обмена.
Вы также можете получить отпечаток, выполнив следующую команду в командной консоли Exchange:
Переназначить службы
Откройте консоль управления Exchange (Microsoft Exchange Server 2007 > Exchange Management Shell).
Затем выполните следующую команду, чтобы повторно включить сертификат SSL для служб, которые вы в настоящее время защищаете:
Enable-ExchangeCertificate -ThumbPrint insert_thumbprint -Services "SMTP, IMAP, POP, IIS"
Примечание. Если вам будет предложено перезаписать существующий сертификат [Service], нажмите «a» для всех.
Для серверов ISA/TMG
По нашему опыту, для активации изменений необходимо перезагрузить сервер. Если вы найдете другой способ корректного отображения изменений на вашем сервере ISA/TMG после запуска нашего инструмента диагностики установки DigiCert® SSL, сообщите нам об этом.
Другие типы Microsoft Server (например, OCS, Lync)
Возможно, вы сможете повторно активировать свой сертификат, отключив его, а затем снова включив, но мы не проверяли это. Сообщите нам, если это устранит промежуточную проблему.
Устранение ошибок сертификата
Если советы из раздела "Перенастройка сертификата для веб-сайта IIS или домена Exchange" не помогли решить проблему, возможно, вам потребуется перезагрузить сервер.
Если перезагрузка сервера не устраняет проблему, скорее всего, SSL-сертификат установлен на/каких-то дополнительных серверах или устройствах с неполной цепочкой сертификатов, поэтому вам необходимо обратиться в службу поддержки за помощью. ее решение.
Читайте также: