GeoTrust的SSL证书无效

Question

我已经签署了一个SSL证书(快速SSL高级)从Geotrust由我的VPS提供者(1&1)。我完全按照这里的指示做了，我在我的子域的虚拟主机文件中添加了所有的指令，但是SSL证书似乎是不可信的。可能的原因是什么？

我在启用Apache2和mod_ssl的情况下运行Ubuntu10.04 Lucid

Answer 1

可能的原因是：

1. 客户的时钟设置不正确。
2. 客户端的浏览器没有将CA设置为可信。
3. 未正确安装在服务器上的证书或未设置的相应私钥。
4. 中间证书是必需的，但在服务器上没有正确安装。
5. 客户端不试图通过证书中列出的名称到达站点。
6. 证书已被撤销或损坏。

如果您共享URL，我们可以立即缩小问题范围。

Answer 2

您可以在联机sslChecker上测试证书安装：

http://www.sslshopper.com/ssl-certificate-tools.html

如果您的CA证书或即时证书有问题，它将立即通知您。

but the SSL Certificate seems to be untrusted. What are the possible reasons for that?

最有可能的是，在证书签名请求中分配的公共名称与您使用证书的主机名不匹配。您需要确保这些名称匹配，域和子域。在多个子域上使用相同证书的唯一方法是使用通配符证书。但是，这通常是一种不同于传统证书服务的服务，即单域证书。

使用openssl的Apache示例：

$ openssl req -new -newkey rsa:2048  -nodes -keyout myPrivatekey.key -out mycsr.csr -config openssl.conf
Generating a 2048 bit RSA private key
.....+++
.....................................+++
writing new private key to 'mykey.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:North Carolina
Locality Name (eg, city) []:Raleigh
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Somebody,
Inc.
Organizational Unit Name (eg, section) []:IT
Common Name (eg, YOUR name) []:test.testdomain.com (MUST MATCH HOST)
Email Address []:youremail@domain.com

然后将其发送到CA提供程序，它们将生成公共证书、根证书和中间证书。使用与CSR一起生成的私钥。

Apache httpd.conf设置：

# Secure (SSL/TLS) connections
<IfModule ssl_module>
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM

#CA certificates for root and intermediate
SSLCACertificateFile "C:/certs/Geotrust/caroot.crt"
SSLCertificateChainFile "C:/certs/Geotrust/caIntermediate.crt"

#Generated first via openssl; Server public and private keys.
SSLCertificateFile    "C:/development/certs/Geotrust/myPublicKey.crt"
SSLCertificateKeyFile "C:/development/certs/Geotrust/myPrivatekey.key"

</IfModule>

<VirtualHost *:443>
SSLEngine On
DocumentRoot "C:/website"
ServerName test.testdomain.com