Завихрение, рысь и т.д. не принятие сертификата локально, но хорошо удаленно
Когда я соединяюсь со своим веб-сервером для просмотра сайта по HTTPS, я получаю хорошую зеленую вещь EV в строке поиска. Когда я использую завихрение локально для соединения, оно жалуется на сертификат и умирает.
Я знаю, что могу просто пропустить проверку сертификата, но я хотел бы решить проблему, поскольку существуют другие времена, что эти сертификаты будут проверены локально.
Мой файл hosts (на сервере) отображает www.domain.com на 192.168.100.62. какой Apache слушает на (подтвержденный путем выполнения ЗАВИХРЕНИЯ к тому же адресу через http):
root@web3:~# curl -v https://www.domain.com
* About to connect() to www.domain.com port 443 (#0)
* Trying 192.168.100.62... connected
* Connected to www.domain.com (192.168.100.62) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* Peer's certificate issuer is not recognized: 'CN=Symantec Class 3 EV SSL CA - G3,OU=Symantec Trust Network,O=Symantec Corporation,C=US'
* NSS error -8179
* Closing connection #0
* Peer certificate cannot be authenticated with known CA certificates
curl: (60) Peer certificate cannot be authenticated with known CA certificates
More details here: http://curl.haxx.se/docs/sslcerts.html
Я ввел по абсолютному адресу вокруг Google немного, но, может казаться, не нахожу много.. может быть возможно, что мой корневой пакет CA устарел, или является вихревым, сам слишком старо для соединения, но у меня нет большого опыта с этим.
root@web3:~# curl --version
curl 7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.18 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2
Protocols: tftp ftp telnet dict ldap ldaps http file https ftps scp sftp
Features: GSS-Negotiate IDN IPv6 Largefile NTLM SSL libz
кошка/etc/redhat-release Red Hat Enterprise выпуск 6.7 Сервера Linux (Сантьяго)
Я попытался добавить корневой сертификат verisign при помощи update-ca-trust инструмент, но это также не оказывает влияния:
root@web3:anchors# pwd
/etc/pki/ca-trust/source/anchors
root@web3:anchors# ls
VeriSign-Class-3-Public-Primary-Certification-Authority-G3.crt
root@web3:anchors# update-ca-trust
root@web3:anchors# curl... <snip> same error.
Я в чем-то вроде потери относительно того, какова фактическая проблема. Действительно ли сертификаты только действительны на интернет-дюйм/с?
Отредактировано (2018-12-20): Предупреждение безопасности: установка сертификата из неизвестного источника представляет собой угрозу безопасности.
Я решил проблему, загрузив Symantec_Class_3_EV_SSL_CA_G3.crt и установив его:
wget http://symantec.tbs-certificats.com/Symantec_Class_3_EV_SSL_CA_G3.crt
cp Symantec_Class_3_EV_SSL_CA_G3.crt /etc/pki/ca-trust/source/anchors
update-ca-trust
Проблема просто ушла :)Не уверен, почему он не включен по умолчанию в комплект корневого центра сертификации.