Comodo PositiveSSL + Windows 2008R2 / IIS7.5: ошибка на Android только
У меня есть сертификат SSL, который правильно работает со всеми главными настольными браузерами (IE, Chrome, FF), и на Windows Phone и iOS, но на Android.
Я предполагаю, что установил свой сертификат в правильном порядке, потому что он показывает иерархию сертификата, как последовал сервер:
(корневой) AddTrust внешний CA \(промежуточный) центр сертификации Comodo RSA \защищенный сервер проверки домена Comodo RSA CA \myunluckydomainnameexample.com
Я знаю, тот единственный AddTrust находится в списке корневой АВАРИИ Android, таким образом, это должна быть проблема с промежуточными. Как я могу исследовать его далее в моем Windows 2008 R2?
Я нашел openssl инструмент:
$ openssl s_client -connect myunluckydomainnameexample.com:443
CONNECTED(00000003)
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=skaelede.hu
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
Я выдержал сравнение, это производится с известным рабочим сайтом, https://ssllabs.com и это дает следующий вывод:
$ openssl s_client -connect ssllabs.com:443
CONNECTED(00000003)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=www.ssllabs.com
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----
.. какой сертификат я пропускаю здесь?
Похоже, слишком большое количество изменений в хранилище сертификатов приводит к неопределенному состоянию цепочки сертификатов, которое невозможно исправить путем перезапуска IIS. После запланированной перезагрузки сервера все изменения в CA-цепочке вступили в силу, и с тех пор она работает должным образом.
Заказ должен быть 1) сервер CRT 2) Domain/EV/WildC CRT 3) 2-й CA
Я только что справился с этой проблемой (ного на Chrome Android), вот как я исправил это с сертификатом домена.
распакуйте zip-файл, который я получил по электронной почте
unzip www_mysite_com.zip
Создайте пакет сертификатов со всеми CA, но пропустите корневой COMODORSAAddTrustCA.crt
cat www_mysite_com.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > www.mysite.com.bundle.crt
Я использую nginx, так что моя линия crt выглядит как:
ssl_certificate /etc/nginx/ssl/www.mysite.com.bundle.crt;
Работает отлично, и я наконец-то получил хром на Android.
Regards