SSL证书配置错误

Question

基本上，facebook铲运机(https://developers.facebook.com/tools/debug/og/object/)告诉我们：

Curl Error : SSL_CACERT SSL certificate problem: unable to get local issuer certificate

在这里测试了我网站的网址：https://whatsmychaincert.com/?mysite.com

这说明：我的站点配置错误。这是它应该使用的链.

我害怕从这个站点下载链文件，因为我想我已经从GoDaddy下载了所有的链接文件。

回到我的facebook 刮刀问题上。我做了谷歌搜索，发现Curl错误是由于PHP版本。正如我所检查的，我有最新的PHP运行。但我仍然从官方网站下载了cacert.pem，并添加到我的ssl证书所在的文件夹(/etc/ssl/ certs )中。然后编辑/opt/bitnami/php/etc.定位的php.ini

它是这样写的：

 curl.cainfo ="/etc/ssl/certs/cacert.pem"

重新启动apache，问题仍然存在。因此，我专注于解决SSL证书问题。

这就是我默认的-ssl.conf的样子：

SSLCertificateFile  /etc/ssl/certs/a639a4be86615af.crt
SSLCertificateKeyFile /etc/ssl/certs/mysite.key

SSLCertificateChainFile /etc/ssl/certs/mysite.com.chain.crt (downloaded from https://whatsmychaincert.com/)

SSLCACertificateFile /etc/ssl/certs/a639a4be86615af.pem

顺便说一下，我的站点显示了https连接。但是在Firefox中，我没有看到任何加载的图片。这是否与(无法获得本地颁发者证书)有关？

我的配置怎么了？我该怎么解决呢？

编辑:我使用wordpress set.So，我为ssl编辑了两个路径。/etc/apache2/sites-available/default-ssl.conf和/opt/bitnami/apache2/conf/extra/httpd-ssl.conf

我最新的SSL配置文件：

<IfModule mod_ssl.c>
    <VirtualHost _default_:443>
        ServerAdmin hello@mysite.com
        ServerName mysite.com

        DocumentRoot /var/www/html

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLEngine on

        SSLCertificateFile      /etc/ssl/certs/b8ad60af28cd1745.crt
        SSLCertificateKeyFile /etc/ssl/private/mysite.key
        SSLCertificateChainFile /etc/ssl/certs/b8ad60af28cd1745.pem

        <FilesMatch "\.(cgi|shtml|phtml|php)$">
              SSLOptions +StdEnvVars
        </FilesMatch>
        <Directory /usr/lib/cgi-bin>
              SSLOptions +StdEnvVars
        </Directory>

    </VirtualHost>
</IfModule>

Answer 1

与浏览器不同，PHP Curl不从其他来源重构证书树。因此，如果证书树不完整，则CURL无法验证站点证书。

您的VirtualHost配置应该包括以下内容：

• SSLCertificateFile -您的站点certificate
• SSLCertificateKeyFile - CertificateFile
• SSLCertificateChainFile文件的键-文件包含从叶到根的所有中间证书(因此curl可以将证书连接到/etc/ssl/certs/cacert.pem)

中的证书)。

从2.4.8开始，您可以将所有证书从叶到根放入SSLCertificateFile (https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcertificatefile)中。

您可以使用https://www.ssllabs.com/ssltest/index.html测试您的SSL配置，该配置还报告了不完整的证书树。