哪个操作系统附带了StartCom_Certification_Authority.pem？

Question

我从StartSSL购买了一些(便宜的) HTTPS证书。它们在我测试过的所有浏览器上都工作得很好。根据这个职位，他们甚至在IE7和8中被认可，这对我来说已经足够好了。

然而，一位用户抱怨他的WordPress RSS客户机/聚合器停止工作。他的网站运行的是Wordpress和朴素的最新版本，但它不承认StartCom CA：

WP HTTP Error: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 

我想他的wordpress站点运行在一些共享的托管服务linux盒上。所以现在我很好奇，哪些版本的Debian、Ubuntu、RHEL、Fedora、FreeBSD等等包含了StartCom根证书？

Answer 1

主要问题似乎是您在www.opencpu.org上为支持SNI (服务器名称指示)的客户端提供了正确的证书，例如在SSL握手中发送预期的服务器名。但是对于不使用SNI的客户端，您为dev1.opencpu.org发送一个证书，它既不匹配名称，也不由可信CA签名，但它是自签名的。但是，尽管当前浏览器都支持SNI，但一些脚本库却不支持。

因为您为使用SNI的客户端提供了*.opencpu.org通配符证书，所以我建议只删除dev1.opencpu.org证书，因为这个主机名也匹配证书*.opencpu.org。

同时，demo.ocpu.io的工作也更加困难。该名称解决了与opencpu.org相同的IP，因此不支持SNI的客户端获得了具有相同问题的dev1.opencpu.org自签名证书，例如名称不匹配和不信任CA。如果您需要为不支持SNI的客户端支持此主机名，则必须使用不同的IP地址。

Answer 2

如果尚未将StartSSL中间CA证书添加到安装中，则可能发生此错误。请参阅有关这方面的StartSSL常见问题，或者将中间证书添加到证书文件中的服务器证书中(或者我总是忘记了哪个)。