RapidSSL Intermediate/chain certificate

Üdv!

Levelezőhöz Let's Encrypt helyett vettem egy egy éves RapidSSL-t, amit beállítottam a a Let's Encrypt helyére.

Az mmc-ben (Win 2008R2) importáltam az Intermediate Certification Authorities menüpont alá a kapott 'windows_intermediate.p7b' fájlt.

Most az a helyzet állt elő, hogy az Androidos Gmail app a cég saját szerverét nem fogadja el, hibás cert-re panaszkodik.

A https://www.sslshopper.com/ssl-checker.html oldalon leellenőriztem, és úgy néz ki, hogy a a láncolattal valami nem jó. (szervert nem indíthatom most újra). A Let's Encrypt esetében szépen megjelent a lánc.

Mit csináltam rosszul?

Hozzászólások

Szerkesztve: 2020. 09. 15., k - 21:30

Jobban rá tudnék nézni cert-re, ha valahol publikus helyen lenne.

Ha jól vélem érteni, ilyen cert-chain-ed van:

Subject: ... CN=mail...
Issuer:  C=US, O=DigiCert Inc, CN=RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1
-----
Subject: C=US, O=DigiCert Inc, CN=RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1
Issuer:  C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA
-----
Subject: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA
Issuer:  C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA

Szerk: Arra tippelnék, hogy szerverdnek (nginx?) csak EE certificate-et adtad meg, chain nélkül. Legalább az Intermediate CA certje kellene még, de a Root CA certje is elférne.

Szia!

Jobban rá tudnék nézni cert-re, ha valahol publikus helyen lenne.

Hol tudom elérhetővé tenni?

 

Az nginx az egy virtuális gépben fut - nem érdekes - , az ellenőrző oldal valami miatt bekérdez a 80-as portra is, amikor én a 993-ast ellenörzöm, azért van ott az nginx (ha leállítom, akkor nem jelenik meg)

A fizikai gépen van egy levelező, oda töltöttem be a privát kulcsot, meg a crt fájlt, amit kaptam (meg is eszi).

Az Intermediate telepítéséhez kaptam egy windows_intermediate.p7b fájlt, amit ez alapján telepítettem is a

Console Root/Certificates (Local Computer)/Intermediate Certificattion Authorities/Certificates alá

https://www.sslmarket.hu/ssl/help-intermediate-tanusitvany-es-az-interm…

Innen is leszedtem a RapidSSL intermediateket és telepítettem

https://www.sslmarket.hu/ssl/help-intermediate-tanusitvanyok-root-tanus…

köszi

Legegyszerűbb esetben az `openssl s_client` programmal tudod ellenőrzni a szerveredet, hogy pl:

openssl s_client mail.t-online.hu:993
CONNECTED(00000004)
depth=2 C = HU, L = Budapest, O = NetLock Kft., OU = Tan\C3\BAs\C3\ADtv\C3\A1nykiad\C3\B3k (Certification Services), CN = NetLock Arany (Class Gold) F\C5\91tan\C3\BAs\C3\ADtv\C3\A1ny
verify return:1
depth=1 C = HU, L = Budapest, O = NetLock Kft., OU = Tan\C3\BAs\C3\ADtv\C3\A1nykiad\C3\B3k (Certification Services), CN = NetLock Expressz (Class C) Tan\C3\BAs\C3\ADtv\C3\A1nykiad\C3\B3
verify return:1
depth=0 C = HU, L = Budapest, O = Magyar Telekom Plc., OU = TU.ITOps.BSOD, CN = mail.t-online.hu
verify return:1
---
Certificate chain
 0 s:C = HU, L = Budapest, O = Magyar Telekom Plc., OU = TU.ITOps.BSOD, CN = mail.t-online.hu
   i:C = HU, L = Budapest, O = NetLock Kft., OU = Tan\C3\BAs\C3\ADtv\C3\A1nykiad\C3\B3k (Certification Services), CN = NetLock Expressz (Class C) Tan\C3\BAs\C3\ADtv\C3\A1nykiad\C3\B3
 1 s:C = HU, L = Budapest, O = NetLock Kft., OU = Tan\C3\BAs\C3\ADtv\C3\A1nykiad\C3\B3k (Certification Services), CN = NetLock Expressz (Class C) Tan\C3\BAs\C3\ADtv\C3\A1nykiad\C3\B3
   i:C = HU, L = Budapest, O = NetLock Kft., OU = Tan\C3\BAs\C3\ADtv\C3\A1nykiad\C3\B3k (Certification Services), CN = NetLock Arany (Class Gold) F\C5\91tan\C3\BAs\C3\ADtv\C3\A1ny
...

Ez (a borzalmas \-szekvenciáktól eltekintve) azt jelenti, hogy a végpont (EE) tanusítványa mellett az intermediate CA tanusítványa is ottan van, kicsit olvashatóbban ilyen a lánc:

s: C=HU, L=Budapest, O=Magyar Telekom Plc., OU=TU.ITOps.BSOD, CN=mail.t-online.hu
i: C=HU, L=Budapest, O=NetLock Kft., OU=Tanúsítványkiadók (Certification Services), CN=NetLock Expressz (Class C) Tanúsítványkiadó
nb: Dec  5 11:42:37 2018 GMT
na: Dec  4 11:42:37 2020 GMT
----
s: C=HU, L=Budapest, O=NetLock Kft., OU=Tanúsítványkiadók (Certification Services), CN=NetLock Expressz (Class C) Tanúsítványkiadó
i: C=HU, L=Budapest, O=NetLock Kft., OU=Tanúsítványkiadók (Certification Services), CN=NetLock Arany (Class Gold) Főtanúsítvány
nb: Dec 27 15:24:39 2010 GMT
na: Mar 13 15:24:39 2026 GMT
----
s: C=HU, L=Budapest, O=NetLock Kft., OU=Tanúsítványkiadók (Certification Services), CN=NetLock Arany (Class Gold) Főtanúsítvány
i: C=HU, L=Budapest, O=NetLock Kft., OU=Tanúsítványkiadók (Certification Services), CN=NetLock Arany (Class Gold) Főtanúsítvány
nb: Dec 11 15:08:21 2008 GMT
na: Dec  6 15:08:21 2028 GMT

(Illetve a harmadikat nem küldi a t-online, de az opcionális, az első kettő viszont fontos.)

Szóval ezt kellene nézned a saját szervereden, hogy ott mi a helyzet certifcate-ügyben.

Szerkesztve: 2020. 09. 16., sze - 20:29

Szia!

Az intermed-certet egybe kell rakni a szerver-cert-el.
Az intermed-certet a cert. kibocsájtó oldaláról lehet letölteni.

Ha megvan:

$> cat server-cert.pem intermed-cert.pem > server-cert2.pem
$> openssl pkcs12 -export -inkey privateKey.key -in server-cert2.pem -out certificate.pfx

(Valamilyen Jelszót meg kell adni, máshogy nem eszi meg a Windows - importáláshoz kell )

A "certificate.pfx" - fájlt utána a Windows -nak beimportálod.

> Mit csináltam rosszul?

ezt:

> Levelezőhöz Let's Encrypt helyett vettem egy egy éves RapidSSL-t, amit beállítottam a a Let's Encrypt helyére.

Mi az előnye a fizetős, egy évre jó tanúsítványnak?