Tham gia Đăng nhập
Điểm:0
avatar Server

Chứng chỉ SSL không hợp lệ khi máy chủ đang tự kết nối

lá cờ in
Roland Soós

Tôi có một mạng cục bộ có địa chỉ IP của máy chủ [máy chủ] là: 192.168.88.201, máy chủ lưu trữ: local.mydomain.com. Máy chủ này là Ubuntu 18.04.6 LTS chạy Apache+PHP. Ngoài ra, máy chủ này đã cài đặt Hãy mã hóa SSL bằng certbot.

Khi sử dụng một máy tính khác trên mạng cục bộ, SSL hoạt động tốt khi truy cập https://local.mydomain.com -> Chrome cho thấy chứng nhận hợp lệ.

Sự cố xảy ra khi máy chủ tự kết nối và cho rằng chứng nhận không hợp lệ.

Tôi bị mắc kẹt ở đây vì tôi không chắc vấn đề có thể xảy ra ở đâu. Bạn có gợi ý nào không?

Ví dụ: Trong thiết bị đầu cuối của [SERVER], khi:

root@server:/tmp# wget https://local.mydomain.com
--2022-01-07 07:47:18-- https://local.mydomain.com/
Đang giải quyết local.mydomain.com (local.mydomain.com)... 192.168.88.201
Đang kết nối với local.mydomain.com (local.mydomain.com)|192.168.88.201|:443... đã kết nối.
LỖI: không thể xác minh chứng chỉ của local.mydomain.com, được cấp bởi âCN=R3,O=Let's Encrypt,C=USâ:
  Không thể xác minh cục bộ thẩm quyền của tổ chức phát hành.
Để kết nối với local.mydomain.com một cách không an toàn, hãy sử dụng `--no-check-cert'.

root@server:/tmp# openssl s_client -connect local.mydomain.com:443 -prexit > a.txt
ĐÃ KẾT NỐI(00000005)
---
Chuỗi chứng chỉ
 0 s:CN = local.mydomain.com
   i:C = US, O = Let's Encrypt, CN = R3
---
Chứng chỉ máy chủ
-----BẮT ĐẦU GIẤY CHỨNG NHẬN----
***
-----GIẤY CHỨNG NHẬN KẾT THÚC-----
chủ đề=CN = local.mydomain.com

nhà phát hành=C = US, O = Let's Encrypt, CN = R3

---
Không có tên CA chứng chỉ ứng dụng khách nào được gửi
Thông báo ký ngang hàng: SHA256
Loại chữ ký ngang hàng: RSA-PSS
Khóa tạm thời máy chủ: X25519, 253 bit
---
Bắt tay SSL đã đọc 2005 byte và ghi 402 byte
Lỗi xác minh: không thể xác minh chứng chỉ đầu tiên
---
Mới, TLSv1.3, Mật mã là TLS_AES_256_GCM_SHA384
Khóa công khai của máy chủ là 2048 bit
Đàm phán lại an toàn KHÔNG được hỗ trợ
Nén: KHÔNG CÓ
Mở rộng: KHÔNG CÓ
Không có ALPN nào được thương lượng
Dữ liệu ban đầu không được gửi
Xác minh mã trả lại: 21 (không thể xác minh chứng chỉ đầu tiên)
---
HTTP/1.1 400 Yêu cầu không hợp lệ
Ngày: Thứ sáu, 07 tháng 1 năm 2022 06:53:07 GMT
Máy chủ: Apache/2.4.29 (Ubuntu)
Độ dài nội dung: 313
Kết nối: đóng
Loại nội dung: văn bản/html; bộ ký tự = iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><đầu>
<title>400 Yêu cầu không hợp lệ</title>
</head><body>
<h1>Yêu cầu không hợp lệ</h1>
<p>Trình duyệt của bạn đã gửi một yêu cầu mà máy chủ này không thể hiểu được.<br />
</p>
<giờ>
<address>Máy chủ Apache/2.4.29 (Ubuntu) tại local.mydomain.com Cổng 443</address>
</body></html>
---
Vé phiên mới sau bắt tay đã đến:
Phiên SSL:
    Giao thức: TLSv1.3
    Mật mã: TLS_AES_256_GCM_SHA384
    ID phiên: E5F662F909BA717C5FA0D6DBBBDA777CA284E164FACC4784915D7E08DF39B63DB
    Phiên-ID-ctx:
    Tiếp tục PSK: FFA7F4A4502316545E4147887CE4A7D552DDF54A92A8C2B5D87601BEA01B8DDEC2292004635AC152E71188CEDEF099CE
    Danh tính PSK: Không có
    Gợi ý nhận dạng PSK: Không có
    Tên người dùng SRP: Không có
    Gợi ý thời gian tồn tại của vé phiên TLS: 300 (giây)
    Vé phiên TLS:
    0000 ****

    Thời gian bắt đầu: 1641538382
    Thời gian chờ: 7200 (giây)
    Xác minh mã trả lại: 21 (không thể xác minh chứng chỉ đầu tiên)
    Bí mật tổng thể mở rộng: không
    Dữ liệu sớm tối đa: 0
---
đọc KHỐI R
---
Vé phiên mới sau bắt tay đã đến:
Phiên SSL:
    Giao thức: TLSv1.3
    Mật mã: TLS_AES_256_GCM_SHA384
    ID phiên: BABB13C496B291A43F4FDDCD20FE5568574F79ACA2D06203A53D9072FBE3A2C8
    Phiên-ID-ctx:
    Tiếp tục PSK: 90F330C4D3B9BA54DB4CA687400E692CC7AF250F7E6A58493D579A9DD6C3DBA3E5B1F2BA94DA7AEA8CF483C2FB19211B
    Danh tính PSK: Không có
    Gợi ý nhận dạng PSK: Không có
    Tên người dùng SRP: Không có
    Gợi ý thời gian tồn tại của vé phiên TLS: 300 (giây)
    Vé phiên TLS:
    0000 - ***

    Thời gian bắt đầu: 1641538382
    Thời gian chờ: 7200 (giây)
    Xác minh mã trả lại: 21 (không thể xác minh chứng chỉ đầu tiên)
    Bí mật tổng thể mở rộng: không
    Dữ liệu sớm tối đa: 0
---
đọc KHỐI R
---
Chuỗi chứng chỉ
 0 s:CN = local.mydomain.com
   i:C = US, O = Let's Encrypt, CN = R3
---
Chứng chỉ máy chủ
-----BẮT ĐẦU GIẤY CHỨNG NHẬN----
***
-----GIẤY CHỨNG NHẬN KẾT THÚC-----
chủ đề=CN = local.mydomain.com

nhà phát hành=C = US, O = Let's Encrypt, CN = R3

---
Không có tên CA chứng chỉ ứng dụng khách nào được gửi
Thông báo ký ngang hàng: SHA256
Loại chữ ký ngang hàng: RSA-PSS
Khóa tạm thời máy chủ: X25519, 253 bit
---
Bắt tay SSL đã đọc 3152 byte và ghi 450 byte
Lỗi xác minh: không thể xác minh chứng chỉ đầu tiên
---
Mới, TLSv1.3, Mật mã là TLS_AES_256_GCM_SHA384
Khóa công khai của máy chủ là 2048 bit
Đàm phán lại an toàn KHÔNG được hỗ trợ
Nén: KHÔNG CÓ
Mở rộng: KHÔNG CÓ
Không có ALPN nào được thương lượng
Dữ liệu ban đầu không được gửi
Xác minh mã trả lại: 21 (không thể xác minh chứng chỉ đầu tiên)
---
90
0 + 0
Điểm:2
Steffen Ullrich avatar Server
lá cờ se
Steffen Ullrich 
Chuỗi chứng chỉ
 0 s:CN = local.mydomain.com
   i:C = US, O = Let's Encrypt, CN = R3

Máy chủ bị định cấu hình sai và chỉ gửi một chuỗi không hoàn chỉnh, thiếu chứng chỉ trung gian. Thay vào đó, một trang web được định cấu hình đúng sẽ trả lại chứng chỉ trung gian bổ sung, dẫn đến ISRG Root X1. Let's Encrypt có một máy chủ mẫu cho việc này:

$ openssl s_client -kết nối hợp lệ-isrgrootx1.letsencrypt.org:443
...
Chuỗi chứng chỉ
 0 s:CN = hợp lệ-isrgrootx1.letsencrypt.org
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Nhóm nghiên cứu bảo mật Internet, CN = ISRG Root X1

Khi sử dụng một máy tính khác ... Chrome cho thấy chứng nhận hợp lệ.

Trình duyệt thường sẽ khắc phục thành công cấu hình sai đó bằng cách tải xuống các chứng chỉ trung gian bị thiếu hoặc sử dụng các bản sao được lưu trong bộ nhớ cache. Các khách hàng khác sẽ không. Vì vậy, không nên chỉ kiểm tra xem nó có hoạt động với trình duyệt hay không. Sử dụng thay thế các trang web như Phòng thí nghiệm SSL sẽ báo cáo "sự cố chuỗi" là sự cố trong trường hợp của bạn.

0 + 0
lá cờ in
Roland Soós
Cảm ơn bạn, bạn đã đúng! Hóa ra trong cấu hình apache tôi phải sử dụng fullchain.pem thay vì cert.pem. SSLCertificateFile /etc/letsencrypt/live/local.mydomain.com/cert.pem -> SSLCertificateFile /etc/letsencrypt/live/local.mydomain.com/fullchain.pem
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.