Ошибка при проверке цепочки сертификатов, сертификаты uc могут быть не установлены на компьютере
Обновлено: 21.11.2024
Эта ошибка относится к серверу IIS 7 и обычно может быть результатом помещения сертификата в неправильное хранилище сертификатов или забывания, где находится закрытый ключ. Помните, что в IIS можно использовать только сертификаты, хранящиеся в личном разделе локального компьютера.
Я. Восстановить поврежденный сертификат
- Откройте cmd.exe
- Введите: certutil -repairstore my "THUMBPRINT/SERIALNUMBER"
- Вернитесь в Диспетчер IIS и повторно отредактируйте привязки для этого сайта.
II. Восстановить сертификат в хранилище локального компьютера
- Откройте оснастку «Сертификат» из MMC (консоли управления Microsoft); «Пуск» -> «Выполнить» -> введите «mmc» -> «Файл» -> «Добавить/удалить оснастку» -> «Добавить» -> «Сертификаты».
- Добавить текущую учетную запись пользователя: Моя учетная запись пользователя -> Готово.
- Добавить учетную запись локального компьютера: Учетная запись компьютера -> Локальный компьютер -> Готово.
- Закройте "Добавить отдельную оснастку".
- Нажмите "ОК".
- В новом окне перетащите сертификат, который не будет установлен, из хранилища «Другие люди» в папку «Локальный компьютер» -> «Личные» -> «Сертификаты».
- Откройте командную строку: Пуск -> Выполнить -> Введите cmd.
- Введите: certutil -repairstore my "THUMBPRINT_OF_CERTIFICATE" (с кавычками)
- Теперь вы должны вернуть закрытый ключ в сертификат, поэтому теперь откройте IIS и назначьте его своему веб-сайту.
Это означает, что вы пытались получить сертификат подписи кода с помощью браузера Google Chrome.
В настоящее время Google Chrome не поддерживает регистрацию связанных сертификатов, и вы не можете использовать другой браузер для получения этого сертификата, поскольку закрытый ключ был сгенерирован с помощью Chrome, и вы должны начать процесс с самого начала, используя другой браузер, например Mozilla. Firefox или Microsoft Internet Explorer.
У вас есть закрытый ключ, соответствующий этому сертификату, но CryptAcQuireCertificatePrivateKey не удалось выполнить.
- Установите правильное разрешение для папки Machinekey C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
- Добавить права администратора и системы на полный доступ.
- Перезапустите IIS.
Есть две возможные причины этой ошибки:
<р>1. Нет корневого сертификата для Keytool для цепочки.Примечание. Keytool использует корневые сертификаты для установки сертификата.
Это не ошибка, это говорит о том, что вы не можете открыть файл. Чтобы просмотреть файл, измените расширение с .cer на .p7b, сохраните и откройте.
Эта ошибка обычно означает, что в системе реализована ошибочная реализация SSL и нарушается спецификация SSL.
Обычно эта ошибка (Невозможно импортировать сертификат с отпечатком XXXXXXXXXXXXXX) появляется, когда сертификат уже установлен на сервере.
Если это так и вы пытаетесь включить службы на сервере для этого сертификата, вы можете использовать команду:
Enable-ExchangeCertificate -Thumbprint [THUMBPRINT] -Services "POP, IMAP, IIS, SMTP" < u>Примечание. замените [THUMBPRINT] правильным отпечатком.
Если сертификат установлен правильно и отображается ошибка, удалите продукт с Thumbprint в сообщении об ошибке.
В этой статье представлены способы обхода проблемы, из-за которой сертификат безопасности, представленный веб-сайтом, не выдается, если у него есть несколько доверенных путей сертификации к корневым центрам сертификации.
Применимо к: Windows 7 с пакетом обновления 1, Windows Server 2012 R2
Исходный номер базы знаний: 2831004
Симптомы
Когда пользователь пытается получить доступ к защищенному веб-сайту, он получает следующее предупреждающее сообщение в веб-браузере:
Проблема с сертификатом безопасности этого веб-сайта.
Сертификат безопасности, представленный этим веб-сайтом, не был выдан доверенным центром сертификации.
После того как пользователь нажмет "Продолжить открытие этого веб-сайта" (не рекомендуется), он сможет получить доступ к защищенному веб-сайту.
Причина
Эта проблема возникает из-за того, что сертификат веб-сайта имеет несколько доверенных путей сертификации на веб-сервере.
Например, предположим, что клиентский компьютер, который вы используете, доверяет сертификату корневого центра сертификации (ЦС) (2). А веб-сервер доверяет сертификату корневого ЦС (1) и сертификату корневого ЦС (2). Кроме того, сертификат имеет следующие два пути сертификации к доверенным корневым центрам сертификации на веб-сервере:
- Путь сертификации 1: сертификат веб-сайта – сертификат промежуточного центра сертификации – сертификат корневого центра сертификации (1)
- Путь сертификации 2: сертификат веб-сайта – сертификат промежуточного центра сертификации – сертификат кросс-корневого центра сертификации – сертификат корневого центра сертификации (2)
Когда компьютер находит несколько доверенных путей сертификации в процессе проверки сертификата, Microsoft CryptoAPI выбирает наилучший путь сертификации, вычисляя оценку каждой цепочки. Оценка рассчитывается на основе качества и количества информации, которую может предоставить путь сертификата. Если баллы для нескольких путей сертификации одинаковы, выбирается самая короткая цепочка.
Если путь сертификации 1 и путь сертификации 2 имеют одинаковую оценку качества, CryptoAPI выбирает более короткий путь (путь сертификации 1) и отправляет его клиенту. Однако клиентский компьютер может проверить сертификат, только используя более длинный путь сертификации, который связан с корневым сертификатом ЦС (2). Таким образом, проверка сертификата не выполняется.
Временное решение
Чтобы обойти эту проблему, удалите или отключите сертификат из пути сертификации, который вы не хотите использовать, выполнив следующие действия:
Войдите на веб-сервер как системный администратор.
Добавьте оснастку "Сертификат" в консоль управления Microsoft, выполнив следующие действия:
- Нажмите "Пуск" > "Выполнить", введите mmc и нажмите Enter.
- В меню "Файл" нажмите "Добавить/удалить оснастку".
- Выберите "Сертификаты", нажмите "Добавить", выберите "Учетная запись компьютера" и нажмите "Далее".
- Выберите Локальный компьютер (компьютер, на котором запущена эта консоль), а затем нажмите Готово.
- Нажмите "ОК".
Разверните раздел Сертификаты (локальный компьютер) в консоли управления, а затем найдите сертификат по пути сертификата, который вы не хотите использовать.
Если сертификат является сертификатом корневого центра сертификации, он содержится в доверенных корневых центрах сертификации. Если сертификат является промежуточным сертификатом ЦС, он содержится в промежуточных центрах сертификации.
Удалите или отключите сертификат одним из следующих способов:
- Чтобы удалить сертификат, щелкните его правой кнопкой мыши и выберите "Удалить".
- Чтобы отключить сертификат, щелкните его правой кнопкой мыши, выберите "Свойства", выберите "Отключить все цели для этого сертификата" и нажмите "ОК".
Перезапустите сервер, если проблема не устранена.
Кроме того, если параметр групповой политики «Отключить автоматическое обновление корневых сертификатов» отключен или не настроен на сервере, сертификат из пути сертификации, который вы не хотите использовать, может быть включен или установлен при следующем построении цепочки. . Чтобы изменить параметр групповой политики, выполните следующие действия:
Нажмите "Пуск" > "Выполнить", введите gpedit.msc и нажмите клавишу ВВОД.
Разверните узел "Конфигурация компьютера" > "Административные шаблоны" > "Система" > "Управление связью через Интернет", а затем нажмите "Параметры связи с Интернетом".
Дважды нажмите «Отключить автоматическое обновление корневых сертификатов», выберите «Включено» и нажмите «ОК».
Примечание редактора. Первоначально этот блог был опубликован в сентябре 2016 года. Он был проверен на предмет ясности и точности менеджером по продукции GlobalSign Себастьяном Шульцем и соответствующим образом обновлен.
Иногда даже ветераны PKI сталкиваются с трудностями при заказе или установке сертификатов SSL/TLS. Это не говорит об отсутствии знаний — скорее, эти процессы могут привести к ранее невиданным ошибкам. Заказ нужного сертификата, создание CSR, его загрузка, установка и проверка на предмет отсутствия проблем — все это области, в которых можно столкнуться с ошибками.
Мы хотим максимально упростить процесс от начала до конца. По этой причине мы собрали наши основные запросы и проблемы, с которыми клиенты могут столкнуться во время заказа или установки. Мы надеемся, что этот блог поможет вам избежать этих ловушек и сократить время до завершения, но если у вас есть проблема, которую вы не можете решить с помощью этого блога, вы все равно можете просмотреть базу знаний службы поддержки GlobalSign или отправить заявку.
Выбор правильного метода утверждения
Примечание. При заказе SSL-сертификата в нашей системе нельзя изменить выбранные методы подтверждения.
Электронная почта утверждающего
При размещении заказа вы можете выбрать один из следующих адресов электронной почты, чтобы мы могли подтвердить ваш домен:
На выбранный адрес будет отправлено электронное письмо, и после его получения вы сможете щелкнуть ссылку, чтобы подтвердить, что домен принадлежит вам.
Примечание. Убедитесь, что вы выбрали правильный вариант, иначе вам придется отменить заказ и создать новый.
ПРИМЕЧАНИЕ. Специальную статью о поддержке, которая поможет вам пройти проверку домена по электронной почте утверждающего, можно найти здесь.
Наша система проверки сможет обнаружить метатег на странице и подтвердить право собственности на домен. Однако наша система не может проверить домен, если он перенаправляет на другую страницу, поэтому обязательно отключите все перенаправления.
Запись TXT DNS
Примечание. Специальную статью о поддержке, которая поможет вам пройти проверку домена с помощью записи DNS TXT, можно найти здесь.
Отсутствует закрытый ключ
Для заказа сертификата SSL/TLS требуется отправить CSR, а для создания CSR необходимо создать закрытый ключ. Ваш закрытый ключ, соответствующий вашему сертификату, обычно находится в том же каталоге, в котором был создан CSR. Если закрытый ключ больше не хранится на вашем компьютере (утерян), сертификат необходимо будет повторно выпустить с новым CSR и, следовательно, с вновь созданным закрытым ключом.
Примеры сообщений об ошибках/ситуаций, указывающих на отсутствие закрытого ключа:
Каким бы удобным это ни казалось, мы не рекомендуем использовать онлайн-инструменты для создания CSR. У них также будет ваш закрытый ключ, а это означает, что безопасность вашего сервера может быть скомпрометирована в будущем.
Примечание. Мы предлагаем множество руководств, которые помогут вам создать закрытые ключи и CSR.
Совместимость с сетью хранения данных
При наличии альтернативного имени субъекта или сертификата SAN перед оформлением заказа следует учесть несколько моментов:
Информацию о совместимости различных типов SAN с различными продуктами см. в таблице ниже:
Недействительный CSR
Если вы создаете CSR продления, вам необходимо убедиться, что общее имя совпадает с именем исходного CSR. Новый CSR не будет таким же, поскольку закрытый ключ должен быть другим. Вы не можете снова использовать тот же CSR, даже если это кажется удобным.
Вы можете протестировать CSR с помощью декодера на вкладке Managed SSL ваших учетных записей GlobalSign. Если у вас его нет, вы можете безопасно использовать онлайн-ресурсы для проверки своего CSR, если вы не делитесь своим закрытым ключом, вам не нужно беспокоиться об их безопасности. Если в начале/конце запроса сертификата есть лишние пробелы или слишком много или слишком мало дефисов, CSR станет недействительным.
-----НАЧАТЬ ЗАПРОС СЕРТИФИКАТА-----
-----КОНЕЦ ЗАПРОСА СЕРТИФИКАТА-----
Введенное вами обычное имя не соответствует базовому варианту
Ошибка дублирования ключа
Эта ошибка появляется, когда вы используете закрытый ключ, который уже использовался. Закрытый ключ и CSR должны использоваться только ОДИН РАЗ.
Вы должны сгенерировать новый закрытый ключ и CSR на своем сервере и повторно отправить новый CSR. Причина, по которой SSL/TLS-сертификаты имеют максимальную действительность (и этот сертификат неоднократно обрывается), заключается в стремлении обеспечить частый обмен ключами, что снижает риск необнаруженной компрометации.
Состояние заказа уже изменено
Это сообщение об ошибке обычно появляется, когда срок действия вашего заказа истек. Вы должны начать процесс заказа с нуля и сообщить нам, если проблема не устранена. Если это так, нам нужно провести дополнительные проверки вашего аккаунта.
ПРИМЕЧАНИЕ. Это сообщение об ошибке также может быть вызвано неправильно указанными SAN. Например, если CN — «www.domain.com», а поддомен указан как «domain.domain2.com», что указывает на отдельное полное доменное имя. Ознакомьтесь с приведенной выше информацией о SAN для получения разъяснений.
Введенные параметры SAN не соответствуют параметрам SAN исходного сертификата
Эта проблема может возникнуть по нескольким причинам:
- Вы добавили пробел до или после SAN.
- В предоставленной вами информации есть опечатка.
- Вы вводите общее имя (CN) сертификата как SAN. В соответствии с правилами мы всегда будем добавлять ваше обычное имя в качестве SAN, его указывать не нужно.
- Вы неправильно вводите SAN как поддомен, мультидоменное имя, внутреннюю SAN или IP-адрес. Вам необходимо выбрать правильный тип SAN, который применяется к SAN. Также проверьте приведенную выше информацию о различных SAN.
Сертификат не является доверенным в веб-браузере
После установки сертификата вы все еще можете получать сообщения о ненадежных ошибках в некоторых браузерах. Это происходит, когда не установлен промежуточный сертификат или по какой-то причине корневой сертификат GlobalSign отсутствует у клиента, подключающегося к вашему серверу. Этого не должно произойти, если только клиент не подвергся серьезной подделке — наши корневые сертификаты встроены практически во все современные операционные системы и приложения.
Выполнение проверки работоспособности домена выявит отсутствующие промежуточные сертификаты. Если промежуточный сертификат отсутствует, используйте следующую ссылку, чтобы определить, какой промежуточный сертификат необходим в зависимости от типа продукта (DomainSSL, OrganizationSSL, ExtendedSSL, AlphaSSL и т. д.).
Сообщение об ошибке «Переключиться с конкурента»
При выборе варианта «перейти от конкурента» в нашей системе заказа сертификатов вы можете увидеть следующее сообщение об ошибке:
Не удается получить доступ к серверу, на котором размещен ваш существующий сертификат, для подтверждения его действительности. Получите копию существующего сертификата и вставьте ее в поле ниже. Все конкурентные переключатели подлежат проверке группой проверки GlobalSign на соответствие доверенным эмитентам в хранилищах доверия браузеров. Если ваш сертификат не выдан действительным корневым сертификатом ЦС, он подлежит аннулированию и/или отзыву.
Это сообщение об ошибке появляется, когда ваш текущий сертификат больше не действителен. Этот вариант следует выбирать только в том случае, если вы переключаетесь до истечения срока действия сертификата другой компании.
Это сообщение об ошибке также может появиться, если ваш текущий сертификат не установлен в домене. В этом случае наша система не сможет определить действительность, поэтому вам следует снять этот флажок и выполнить обычный процесс оформления заказа.
Если у вас есть действительный сертификат конкурента, который не установлен на сервере, вы можете вставить свой CSR в текстовое поле с помощью параметра «Переключиться с конкурента». См. изображение ниже.
Наконец, это сообщение об ошибке может появиться, если вы установили сертификат на свой сервер, но CN не совпадает с именем домена. Например, это может произойти с сертификатом SAN. В этом случае просто снимите флажок «Перейти от конкурента» и выполните обычный процесс оформления заказа.
Если вы переходите на GlobalSign, это прекрасно! Если вы считаете, что имеете право на 30 дней бесплатного действия, но не можете пройти этот процесс, просто свяжитесь с нами, и член команды свяжется с вами.
Для получения дополнительной помощи по общим запросам на сертификаты SSL посетите страницу Общие SSL на нашем сайте поддержки.
Если у пользователя есть веб-сайт/программное обеспечение/приложение, которые он намерен защитить с помощью надежных стандартов шифрования или цифровой подписи, он/она должен установить сертификат SSL (Secure Socket Layer) или сертификат подписи кода.
Используя SSL-сертификат, можно повысить доверие своих пользователей и клиентов, чтобы ускорить рост бизнеса. Защищая от кибератак, эти сертификаты помогают защитить онлайн-транзакции электронной коммерции и конфиденциальную информацию клиентов (например, данные кредитной или дебетовой карты). Приложение или программное обеспечение, защищенное сертификатом подписи кода, обычно получает максимальное количество загрузок и хорошие отзывы пользователей.
Процесс установки SSL-сертификата иногда может привести к нескольким ошибкам, которые могут нарушить его надлежащее функционирование, особенно если сертификат используется человеком, у которого нет большого опыта работы с SSL-сертификатом. И вам может быть интересно, как избавиться от ошибки сертификата. Что ж, мы провели небольшое исследование ошибок SSL и перечислили решения, основанные на комментариях наших экспертов по SSL, для устранения этих ошибок. Список выглядит следующим образом:
Список технических ошибок SSL-сертификата (ошибка подключения SSL), таких как SSL-сертификат не является доверенным, ошибка клиентского сервера и т. д.
Ошибка SSL 1. «Сертификат SSL не является доверенным»
Если вы посещаете веб-сайт, и ваш браузер выдает предупреждение "Сертификат безопасности этого сайта не является доверенным", это означает, что рассматриваемый сертификат либо не подписан доверенным корневым сертификатом, либо что браузер не может чтобы связать этот сертификат с доверенным корневым сертификатом.
Если сертификат действительно подписан доверенным центром сертификации (ЦС), то такое предупреждение указывает на возможность того, что один из промежуточных/цепных сертификатов не установлен на веб-сервере между основным и корневым сертификатами. Чтобы проверить «Путь сертификации» в Internet Explorer, откройте «Сведения о сертификате» и щелкните вкладку «Путь сертификации». Если у вас возникли проблемы с установкой промежуточного/цепного сертификата, вам необходимо обратиться в центр сертификации.
Ошибка SSL 2: SSL-сертификат не выдан доверенным центром сертификации
Когда вы видите в своем браузере сообщение об ошибке «Сертификат не выдан доверенным центром сертификации», это означает, что ваш браузер не может доверять сертификату, поскольку он не утвержден или не подписан доверенным центром сертификации.Вот несколько причин, вызывающих эту ошибку.
- Веб-сайт использует самозаверяющий сертификат. Самозаверяющий сертификат можно создать бесплатно, но он не обеспечивает такого доверия, как доверенный сертификат. Вы можете либо указать браузеру доверять этому сертификату, либо выбрать лучшее решение для покупки и установки SSL-сертификата в доверенном центре сертификации.
- Веб-сайт использует бесплатный SSL-сертификат. Такие бесплатные сертификаты могут быть легко выданы несколькими доверенными центрами сертификации. Однако, чтобы избежать этой ошибки, его корневой сертификат необходимо вручную импортировать в каждый браузер.
- Веб-сайт использует доверенный SSL-сертификат, но промежуточный/цепной сертификат отсутствует или установлен неправильно. Чтобы связать ваш сертификат с доверенным источником, для большинства доверенных сертификатов необходимо установить на сервере хотя бы один другой промежуточный/цепной сертификат.
Последний случай в списке встречается очень часто. Например, на рисунке 3 ниже, если владелец веб-сайта установил сертификат SSL без установки сертификата «GeoTrust Extended Validation SSL CA», браузер выдаст сообщение об ошибке «Сертификат не является доверенным».
Немногие браузеры предпочитают отображать эту ошибку, тогда как мало браузеров игнорируют эту ошибку. Например, Internet Explorer, который автоматически загружает промежуточные/цепные сертификаты при первом посещении веб-сайта, тогда как Mozilla Firefox/Google Chrome не загружает сертификаты самостоятельно.
Поэтому, как только доверенный SSL-сертификат будет правильно установлен, браузер свяжется с промежуточным сертификатом и никогда не покажет сообщение об ошибке "Сертификат не является доверенным". Простой способ проверить правильность установки SSL-сертификата — проверить установку SSL-сертификата с помощью бесплатного инструмента «Проверка SSL».
Сообщение об ошибке "Сертификат не доверенный" будет отличаться в каждом браузере. Несколько примеров перечислены ниже:
- Ваш браузер не распознает центр сертификации, выдавший сертификат сайта.
- Сертификат сайта неполный из-за неправильной настройки сервера.
Ошибка SSL 3: «Несоответствие имени сертификата SSL»
Иногда в браузере может появиться сообщение об ошибке, например: "Сертификат безопасности, представленный этим веб-сайтом, был выдан для другого адреса веб-сайта". Этот тип ошибки называется ошибкой несоответствие имени сертификата SSL.
Если вы являетесь администратором веб-сайта, то, чтобы избавиться от ошибки «Несоответствие имени», вам необходимо перенаправить весь ваш трафик с адреса без «www» на адрес с www, и вам необходимо установить сертификат SSL с адресом «www». р>
Однако самым простым решением для избавления от этой ошибки является приобретение сертификата SSL с поддержкой SAN (альтернативного имени субъекта) в доверенном центре сертификации. Такой SSL-сертификат с поддержкой SAN позволит вам легко установить SSL-сертификат как для веб-адресов с «www», так и для адресов без «www».
Еще одна причина появления этой ошибки — доступ к серверу с использованием внутреннего имени, в то время как SSL-сертификат на этом сервере имеет общедоступное имя. И чтобы устранить эту ошибку в этой ситуации, вам необходимо купить и установить SSL Unified Communication (UCC), который имеет внешнее общедоступное имя и внутреннее имя сервера в SSL-сертификате.
После установки сертификата SSL вы можете проверить сертификат с помощью нашего бесплатного инструмента проверки SSL.
Сообщения об ошибках несоответствия могут различаться в разных браузерах
Ошибка SSL 4: эта страница содержит как безопасные, так и небезопасные элементы.
Вот как избавиться от этой ошибки сертификата:
Решение 2. Измените все ссылки на // или сделайте их относительными
Или вам просто нужно получить к ним относительный доступ.
Этот метод сообщит вашему браузеру, что он должен безопасно загружать изображение/скрипт/фрейм без каких-либо ошибок, если доступ к веб-странице осуществляется безопасно, но если доступ к веб-странице не является безопасным, тогда браузер загрузит изображение/скрипт/ кадрировать нормально.
Решение 3. Измените настройки браузера
Если вы являетесь администратором веб-сайта, вы можете изменить код, чтобы избавиться от этой ошибки, но если вы не являетесь администратором веб-сайта, то единственный способ удалить эту ошибку — изменить настройки браузера.
Выполните следующие шаги для Internet Explorer:
- Выберите "Инструменты", затем "Свойства обозревателя".
- Здесь выберите вкладку "Безопасность".
- Нажмите кнопку "Пользовательский уровень".
- Прокручивайте, пока не найдете параметр «Отображать смешанный контент», затем выберите «Включить» и нажмите «ОК».
- Теперь вы увидите всплывающее предупреждение системы безопасности на своем экране, затем нажмите Да.
Ошибка SSL 5: ошибка недействительного сертификата сервера
Ошибка "Недопустимый сертификат сервера" говорит о том, что Google Chrome не удалось найти действительный сертификат сервера для запуска защищенного соединения. Для запуска зашифрованного сеанса сертификат сервера должен быть действительным и выдан доверенным центром сертификации SSL.
Chrome отобразит следующую ошибку в браузере.
Как исправить ошибку недействительного сертификата сервера
Выполните следующие операции, чтобы исправить ошибку недопустимого сертификата сервера.
- Проверьте, не заблокирован ли веб-сайт брандмауэром или антивирусным определением. Если он заблокирован, вы столкнетесь с ошибкой недействительного сертификата. Немедленно разблокируйте веб-сайт с помощью брандмауэра или антивирусного определения.
- Очистить историю посещенных страниц и файлы cookie.
- Проверьте текущий системный часовой пояс. Если он не совпадает с текущим часовым поясом, необходимо сбросить его.
- Проверьте установку SSL-сертификата с помощью инструмента проверки SSL. Если SSL не установлен должным образом, установите его снова с помощью следующих руководств по установке SSL.
- Если веб-сайт защищен самозаверяющим ЦС или ЦС не идентифицируется Google Chrome, будет отображаться ошибка недействительного сертификата сервера. Обязательно защитите свой веб-сайт с помощью подлинных и доверенных центров сертификации SSL.
Сэкономьте до 90 % на доверенных SSL-сертификатах
Мы предлагаем самые низкие цены на сертификаты SSL от Comodo, GeoTrust, Thawte, Sectigo, Symantec и RapidSSL. Сэкономьте до 90%, покупая напрямую у нас!
В этой статье базы знаний объясняется, почему появляются такие предупреждения, как "Неполная цепочка сертификатов SSL" или "Разорванная цепочка SSL", и как это можно быстро исправить.
Концепции SSL кажутся очень простыми, поскольку вы развертываете SSL-сертификат для защиты своего веб-сайта, посетителей и зашифровываете их общение, чтобы избежать вмешательства злоумышленников. Большинство людей не утруждают себя углублением в концепции SSL, поскольку они предпочитают, чтобы профессионалы справились с этим за них, когда дело доходит до настройки SSL-сертификата и устранения неполадок. Следовательно, если вы собираетесь исправить это самостоятельно, то было бы хорошо, если бы вы понимали несколько терминов, связанных с SSL, наряду с эффективным исправлением. Итак, давайте разберемся, что такое цепочка доверия SSL, поскольку проблема цепочки возникает, когда затрагивается цепочка доверия SSL.
Что такое цепочка доверия SSL?
Давайте сначала разберемся, что такое Центр сертификации (ЦС). Центр сертификации (ЦС), также известный как Центр сертификации (ЦС), — это организация, которая выпускает цифровые сертификаты безопасности, например сертификаты SSL/TLS, и управляет ими. Эти центры сертификации (CA) являются доверенными сторонними объектами (такими как DigiCert, Comodo и т. д.), а их цифровые сертификаты, как правило, представляют собой файлы данных для проверки подлинности таких объектов, как компания, веб-сайт и т. д., надежно связанные с криптографические ключи, которые используются для безопасной связи в незащищенной сети, например, в Интернете. Таким образом, когда вы обсуждаете такие термины, как центры сертификации (ЦС), корневые и промежуточные сертификаты, а также то, как объединяются сертификаты SSL, вы имеете в виду концепцию, называемую «цепочка доверия SSL».
Обычно, когда вы получаете/покупаете сертификат SSL в центрах сертификации, они предоставляют вам специальный сертификат приложения для вашего веб-сайта вместе с промежуточным сертификатом. Веб-браузеры поддерживают список доверенных корневых сертификатов CA, которые предварительно устанавливаются и время от времени автоматически обновляются. Таким образом, когда веб-браузер загружает ваш SSL-сертификат, он сначала начинает связывать сертификат вашего приложения с промежуточным сертификатом. Затем он продолжает цепочку, пока не достигнет корневого сертификата доверенного ЦС. Таким образом, весь этот механизм формирует цепочку доверия SSL — упорядоченный список сертификатов, которые позволяют клиенту конечного пользователя, такому как веб-браузер, выступающий в роли получателя, подтверждать, что сервер веб-сайта, выступающий в роли отправителя, и ЦС заслуживают доверия. р>
Теперь давайте разберемся, почему возникает «Неполная цепочка SSL-сертификатов» или «Разорванная цепочка SSL».
Почему возникает предупреждение о неполной цепочке сертификатов?
Следующие причины появления предупреждений типа «Неполная цепочка SSL-сертификатов», «Разорванная цепочка SSL»:
При развертывании пользовательского SSL-сертификата с помощью платформы Cloudways вам необходимо добавить SSL-сертификат вашего веб-сайта вместе с промежуточным сертификатом (в некоторых случаях также требуется закрытый ключ).Таким образом, если вы пропустите установку промежуточного сертификата или загрузите неправильный сертификат, его нельзя будет связать обратно, и браузеры не будут доверять сертификату и могут генерировать разорванную цепочку или подобные предупреждения.
Или ваш промежуточный сертификат становится недействительным из-за отзыва или истечения срока действия, тогда вы также можете увидеть такие предупреждения.
Как определить предупреждение о неполной цепочке сертификатов
Мы настоятельно рекомендуем вам проверить свой SSL-сертификат, чтобы убедиться, что на вашем веб-сайте нет проблем с цепочкой. В этом нет необходимости, если вы не видите такое предупреждение в своем браузере, тогда и посетители вашего веб-сайта его не увидят, поэтому выявление этой проблемы является первым шагом, чтобы вы не оставляли своих посетителей и веб-сайт уязвимыми.
Давайте посмотрим, как различные сторонние инструменты проверки SSL дают подсказки, когда цепочка SSL-сертификатов разорвана.
Qualys SSL Labs
Так Qualys SSL Labs предупреждает о нарушении цепочки сертификатов SSL.
Покупатель SSL
Так SSL Shopper предупреждает, когда цепочка сертификатов SSL разорвана.
Почему нет замка
Вот так почему No Padlock предупреждает, когда цепочка SSL-сертификатов разорвана.
Магазин Comodo SSL
Так Comodo SSL Store предупреждает, когда цепочка сертификатов SSL разорвана.
Как исправить предупреждение о неполной цепочке сертификатов
Чтобы решить эту проблему, вам нужно изменить/добавить активный промежуточный сертификат, поэтому, если вы являетесь клиентом Cloudways, вам нужно просто скопировать и вставить вместо выполнения нескольких команд на вашем сервере.
Прежде всего вам необходимо определить, владеете ли вы промежуточным сертификатом или нет. Когда вы покупаете SSL-сертификат у любого поставщика SSL, они предоставляют вам сертификат выделенного сервера/приложения в формате файла .crt или .cer (например, mydomain.crt/mydomain.cer) вместе с промежуточным сертификатом в .ca или . формат файла ca-bundle (например, mydomain.ca/mydomain.ca-bundle).
Создать промежуточный сертификат
Для создания промежуточного сертификата можно использовать любой сторонний инструмент, например What’s My Chain Cert. После посещения этого веб-сайта вам необходимо сначала вставить содержимое SSL-сертификата вашего приложения (файл .crt/.cer) и нажать «Создать цепочку», как показано на снимке экрана ниже.
Чтобы просмотреть и скопировать содержимое файла сертификата (файл .crt/.cer), вы можете использовать любой текстовый редактор, например Блокнот для Windows, TextEdit для Mac. Обратите внимание, что вам необходимо скопировать и вставить весь сертификат, включая строки —–BEGIN CERTIFICATE —– и —– END CERTIFICATE —–.
Загружаемый файл с вашим доменным именем будет доступен после нажатия кнопки «Создать цепочку». Загруженный файл будет вашим промежуточным сертификатом.
Теперь войдите на платформу Cloudways. После входа в систему перейдите на вкладку «Серверы» в верхней строке меню и выберите целевой сервер, на котором развернуто желаемое приложение/веб-сайт.
Далее нажмите www, расположенный справа от поля сервера.
Выберите целевое приложение из раскрывающегося списка.
В меню "Управление приложениями" выберите SSL-сертификат.
Здесь вы либо увидите параметр «Переустановить SSL», либо параметр «Установить сертификат».
Итак, для простоты выберите вариант, который вы видите на экране, из приведенных ниже вариантов, поскольку процесс различается для обоих.
Я вижу опцию «Установить сертификат»
Шаг (Ⅰ)
Нажмите «Установить сертификат», чтобы установить сертификат SSL и его промежуточный сертификат.
Шаг (Ⅱ)
Теперь появится диалоговое окно с запросом кода сертификата и цепочки ЦС.
Код сертификата относится к содержимому файла SSL-сертификата вашего приложения. Большинство поставщиков SSL обычно предоставляют это в формате файла .crt или .cer (например, mydomain.crt/mydomain.cer). Посмотреть снимок экрана.
Цепь ЦС относится к цепочке сертификатов (промежуточный сертификат). Обычно он предоставляется в формате файла .ca или .ca-bundle (например, mydomain.ca/mydomain.ca-bundle). Посмотреть снимок экрана.
Обратите внимание, что эти форматы файлов и стандарты могут различаться, учитывая, что существует множество поставщиков SSL-сертификатов с различными форматами и стандартами. Тем не менее, если вам нужна помощь, вы всегда можете связаться с нами через чат или создать заявку в службу поддержки.
Наконец, вставьте все необходимые данные и нажмите "Отправить", чтобы развернуть сертификат с правильной цепочкой.
Чтобы просмотреть и скопировать содержимое файла сертификата (файл .crt/.cer), вы можете использовать любой текстовый редактор, например Блокнот для Windows, TextEdit для Mac. Обратите внимание, что вам необходимо скопировать и вставить весь сертификат, включая строки —–BEGIN CERTIFICATE —– и —– END CERTIFICATE —–.
Перейдем к последнему этапу проверки SSL-сертификата, чтобы убедиться, что проблема решена.
Я вижу опцию «Переустановить SSL»
Шаг (Ⅰ)
Нажмите «Переустановить сертификат», чтобы установить сертификат SSL и его промежуточный сертификат.
Шаг (Ⅱ)
Теперь вам будет предложено ввести содержимое CRT и ключевое содержимое.
Здесь под содержимым CRT понимается содержимое файла SSL-сертификата вашего приложения. Большинство поставщиков SSL обычно предоставляют это в формате файла .crt или .cer (например, mydomain.crt/mydomain.cer). См. снимок экрана.
Вам также необходимо объединить цепочку ЦС, которая ссылается на цепочку сертификатов (промежуточный сертификат). Обычно он предоставляется в формате файла .ca или .ca-bundle (например, mydomain.ca/mydomain.ca-bundle). Посмотреть скриншот. Для конкатенации вы можете использовать любой текстовый редактор, например Блокнот для Windows, TextEdit для Mac. Посмотреть снимок экрана.
Для работы всех SSL-сертификатов требуется закрытый ключ. Закрытый ключ — это отдельный файл с расширением .KEY, который используется при шифровании/дешифровании данных, отправляемых между вашим сервером и подключающимися пользователями. Закрытый ключ создается владельцем сертификата, когда вы запрашиваете сертификат с помощью запроса на подпись сертификата (CSR).
Обратите внимание, что эти форматы файлов и стандарты могут различаться, учитывая, что существует множество поставщиков SSL-сертификатов с различными форматами и стандартами. Тем не менее, если вам нужна помощь, вы всегда можете связаться с нами через чат или создать заявку в службу поддержки.
Наконец, вставьте все необходимые данные и нажмите ОТПРАВИТЬ, чтобы развернуть сертификат с правильной цепочкой.
Чтобы просмотреть и скопировать содержимое файла сертификата (файл .crt/.cer), вы можете использовать любой текстовый редактор, например Блокнот для Windows, TextEdit для Mac. Обратите внимание, что вам необходимо скопировать и вставить весь сертификат, включая строки —–BEGIN CERTIFICATE —– и —– END CERTIFICATE —–.
Перейдем к последнему этапу проверки SSL-сертификата, чтобы убедиться, что проблема решена.
Как исправить предупреждение о неполной цепочке сертификатов
Это последний шаг для проверки вашего SSL-сертификата, и мы создали для него понятное руководство. Проверка выполняется, чтобы вы могли убедиться, что изменения успешно внесены и проблема решена. Если вам нужна помощь, вы всегда можете связаться с нами через чат или создать заявку в службу поддержки.
Вот оно! Мы надеемся, что эта статья была полезной. Если вам нужна помощь, не стесняйтесь искать свой запрос в Центре поддержки Cloudways или связаться с нами через чат (Нужна помощь > Отправить нам сообщение). Кроме того, вы также можете создать заявку в службу поддержки.
Читайте также: