Tham gia Đăng nhập
Điểm:-1
Mike Fry avatar Ubuntu

Không tìm thấy chứng chỉ gốc tiêu điểm Ubuntu

lá cờ cn
Mike Fry

Công ty của tôi đã phát hành chứng chỉ ký tên gốc và phát hành riêng. Máy chủ của tôi có chứng chỉ ssl cho apache. Tôi đặt gốc và 4 chứng chỉ phát hành trong /etc/ssl/certs. Sau đó, tôi chạy update-ca-certificates. Khi sử dụng Chrome, tôi duyệt trang web và gặp lỗi xác thực chứng chỉ. Tôi đã thực hiện các bước này nhiều lần mà không gặp lỗi. Nhóm PKI của chúng tôi xác nhận certifcat là hợp lệ. Tôi nên kiểm tra những gì khác?

hình ảnh

41
0 + 0
ssl
Điểm:1
Steffen Ullrich avatar Ubuntu
lá cờ in
Steffen Ullrich

Chrome không sử dụng chứng chỉ trong /etc/ssl/certs nhưng đi kèm với cửa hàng CA gốc của chính nó trong Linux. Vì vậy, bạn cần nhập CA gốc trong Chrome (Quản lý chứng chỉ bên trong Cài đặt). Tương tự với Firefox, cũng sử dụng cửa hàng CA riêng không được chia sẻ với Chrome.

0 + 0
Mike Fry avatar
lá cờ cn
Mike Fry
Cảm ơn bạn. Tôi nên đề cập rằng tôi đã nhập chứng chỉ gốc vào Chrome. Tôi đã so sánh điều này khi một trang web nội bộ khác được bảo mật bằng cùng một chuỗi và điều đó là tốt. Điều này cho tôi biết Chrome có chứng chỉ gốc chính xác. Tôi càng đào sâu vào vấn đề này, nó càng dẫn đến một chứng chỉ tồi.
0
Hồi đáp
Steffen Ullrich avatar
lá cờ in
Steffen Ullrich
@MikeFry: kiểm tra xem chứng chỉ nào được hiển thị trong Chrome cho trang web này và liệu chứng chỉ đó có hiển thị chuỗi tin cậy cho CA mà bạn đã nhập hay không. Nếu chứng chỉ máy chủ là chứng chỉ dự kiến ​​(kiểm tra chủ đề, hết hạn - lý tưởng là dấu vân tay) và nếu chuỗi tin cậy được hiển thị cho CA mong đợi thì có điều gì đó không ổn, chẳng hạn như sai thời gian trên máy. Vui lòng kiểm tra (và cung cấp trong câu hỏi của bạn) thông báo lỗi thực tế mà bạn nhận được trong Chrome cũng như các chi tiết được hiển thị sau khi nhấp vào liên kết đến thông tin nâng cao.
0
Hồi đáp
Điểm:-1
Tilman avatar Ubuntu
lá cờ cn
Tilman

Bắt đầu bằng cách kiểm tra chi tiết về lỗi xác thực chứng chỉ. Điều đó sẽ cho bạn biết tại sao việc xác thực không thành công. Tiếp tục điều tra của bạn từ đó. Ví dụ: nếu Chrome tuyên bố chứng chỉ chưa hợp lệ, hãy kiểm tra cài đặt đồng hồ của tất cả các máy liên quan. Nếu Chrome cho biết nhà phát hành không đáng tin cậy, hãy kiểm tra xem Chrome đã cài đặt chứng chỉ gốc của công ty bạn chưa. Nếu có một lý do khác, các kiểm tra khác sẽ có liên quan.

0 + 0
lá cờ ru
Thomas Ward
OP cho biết họ đã xác thực chứng chỉ hợp lệ. Họ đang sử dụng /etc/ssl/certs, đây là kho lưu trữ hệ thống toàn cầu mà Chrome và Firefox không sử dụng trong Linux. Điều đó có nghĩa là họ cần nhập chuỗi chứng chỉ CA vào Chrome và Firefox và điều đó sẽ giải quyết được sự cố của họ (như đã chỉ ra trong câu trả lời khác)
0
Hồi đáp
Tilman avatar
lá cờ cn
Tilman
Tôi không nghĩ rằng bạn đọc câu hỏi một cách chính xác. OP cho biết họ đã đặt chứng chỉ vào `/etc/ssl/certs` trên *máy chủ* nhưng lỗi xác thực đang xảy ra trên *máy khách*, vì vậy anh ấy cần kiểm tra lý do tại sao *máy khách* khiếu nại chứng chỉ không hợp lệ trong khi OP *máy chủ* đảm bảo nó hợp lệ.
0
Hồi đáp
lá cờ ru
Thomas Ward
nếu chúng là CA tùy chỉnh như OP nói ("Công ty của tôi đã cấp chứng chỉ ký gốc và phát hành riêng") thì chứng chỉ ký cho CA tùy chỉnh vẫn cần được nhập vào Chrome và Firefox một cách độc lập. Đó vẫn là một nhất định, bất kể. CA tùy chỉnh không được chấp nhận tự động. (Tôi biết điều này từ kinh nghiệm, tôi có một CA tùy chỉnh với NHIỀU chữ ký và chứng chỉ trung gian, và một số nhóm tôi làm việc cùng cũng vậy, giải pháp là "Nhập các CA này vào cửa hàng Chrome và Firefox trước" - bất kể tình huống nào.)
0
Hồi đáp
Tilman avatar
lá cờ cn
Tilman
Tất nhiên. Nhưng OP cũng chỉ ra rằng nó đã hoạt động trong những lần trước, vì vậy rất có thể anh ấy đã làm điều đó rồi. Do đó, trước khi đi đến kết luận, anh ta nên tuân theo quy trình khắc phục sự cố thích hợp, bắt đầu bằng cách thực sự xem thông báo lỗi. Lưu ý rằng tôi đã đặt tên cho giải pháp của bạn là một kết quả có thể xảy ra.Chỉ là chưa chắc chắn rằng đây thực sự là lý do, dựa trên thông tin trong câu hỏi.
0
Hồi đáp
Mike Fry avatar
lá cờ cn
Mike Fry
Cách đây vài năm, khi chúng tôi chuyển sang CA nội bộ, tôi đã viết một gói debian nhập tất cả các chứng chỉ bắt buộc vào cửa hàng dành cho Chrome và Firefox. Cảm ơn bạn cho tất cả các ý kiến ​​​​và đề xuất. Chúng tôi đang chuẩn bị thử một CA khác do nhóm PKI của chúng tôi cung cấp cho chúng tôi.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.