无法在本地验证GeoTrust SSL的颁发机构的权限
无法在本地验证GeoTrust SSL的颁发机构的权限
提问于 2013-05-20 04:05:44
我在从命令行连接到SSL站点(不是我的站点)时遇到了问题.认证路径为"GeoTrust全局CA“> "GeoTrust SSL”> "*.131500.com.au“。服务器最近更换了他们的证书(自2013年5月13日起生效),该证书将在该证书停止工作的时候进行。
我看到了使用curl、wget和"openssl s_client“、whynopaddlock.com和三个不同主机(两个不同的Ubuntu13.04主机,包括一个新VM和一个Windows7-x64/cygwin)的相同问题。
不过,我在使用浏览器时没有问题(GoogleChrome26.0.1410.64m在Windows7-x64上)。
这里有人有指点吗?我通常会责怪我的ssl客户端配置,但这种情况发生在多个主机上。接下来我会责怪网站的配置,但是为什么它在Chrome中运行得很好呢?
是否有可能在GeoTrust中更改了需要更改配置的内容?
www.whynopadlock.com报告:
SSL verification issue (Possibly mis-matched URL or bad intermediate cert.). Details:
ERROR: cannot verify tdx.131500.com.au's certificate, issued by `/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA': Unable to locally verify the issuer's authority.openssl s_client有以下几点:
$ openssl s_client -connect tdx.131500.com.au:443
CONNECTED(00000003)
depth=0 serialNumber = 8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq, C = AU, ST = New South Wales, L = North Sydney, O = SERCO GROUP PTY LIMITED, CN = *.131500.com.au
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 serialNumber = 8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq, C = AU, ST = New South Wales, L = North Sydney, O = SERCO GROUP PTY LIMITED, CN = *.131500.com.au
verify error:num=27:certificate not trusted
verify return:1
depth=0 serialNumber = 8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq, C = AU, ST = New South Wales, L = North Sydney, O = SERCO GROUP PTY LIMITED, CN = *.131500.com.au
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/serialNumber=8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq/C=AU/ST=New South Wales/L=North Sydney/O=SERCO GROUP PTY LIMITED/CN=*.131500.com.au
i:/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/serialNumber=8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq/C=AU/ST=New South Wales/L=North Sydney/O=SERCO GROUP PTY LIMITED/CN=*.131500.com.au
issuer=/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 1435 bytes and written 536 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : RC4-MD5
Session-ID: 1D1C840AF8B831E4070232FC2E8057F0BAB6E1B5A37CB3C93F415C715E4CE05F
Session-ID-ctx:
Master-Key: A00FD977D39342B4F1DEA1A4ECCD74BDD09E709FAB7468105D78D476D9E22D330102891E341AB177B98B8BD8E29C9238
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1369021662
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
closed回答 2
Server Fault用户
回答已采纳
发布于 2013-05-20 05:01:39
服务器没有正确配置-它不发送所需的中间证书。请注意,证书链中只有一个证书:
---
Certificate chain
0 s:/serialNumber=8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq/C=AU/ST=New South Wales/L=North Sydney/O=SERCO GROUP PTY LIMITED/CN=*.131500.com.au
i:/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA
---在此之后,应该有主题s:/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA的第二个证书。
在Apache中,使用SSLCertificateChainFile选项配置中间证书。
至于这个网站为什么在Chrome上对你有用,有几种可能的解释:
- 不同的浏览器可能使用不同的证书存储,并且您的Chrome可能直接信任
GeoTrust SSL CA证书(但是,如果CA打算使用该证书作为中介,则不太可能出现这种情况)。 - 浏览器通常在其证书存储区中缓存中间证书,因此,如果您以前访问过具有
GeoTrust SSL CA中间证书正确配置的另一个站点,那么您可能能够访问使用相同中间证书但没有安全警告而不能正确发送到客户端的站点,因为浏览器可以从其缓存中获取所需的中间证书,并能够验证证书链。 - 所讨论的终端实体证书包含一个HTTP,该URL可用于获取中间证书:权威信息访问: OCSP:http://gtssl-ocsp.geotrust.com CA颁发机构- URI:http://gtssl-aia.geotrust.com/gtssl.crt (此处的
CA Issuers链接以DER格式指向颁发者证书)。有些系统可能能够使用这些链接来获取中间证书,即使服务器没有返回它。根据莫兹拉虫399324的说法,火狐(和其他基于Mozilla的软件)目前无法遵循这样的AIA链接;然而,能够使用它们。
Server Fault用户
发布于 2013-05-20 04:52:21
openssl找不到中间证书(S)。事实上,whynopadlock.com既不能暗示它们一开始就没有安装,也可以在(某些)浏览器中工作,因为它们已经有了中间证书。站点所有者需要安装中间证书,这些证书可以从geotrust.com下载。安装说明也可以在那里找到。
如果它有时工作,有时失败,那么站点所有者已经忘记在所有服务器(或负载平衡器)上安装中间证书。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/509158
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号