আমি কীভাবে নিশ্চিত করব যে স্ট্যান্ডেল সমস্ত মধ্যবর্তী সিএ শংসাপত্র প্রেরণ করে?

13

কয়েকটি কম্পিউটার, তবে বেশিরভাগ নয়, আমার ওয়েব সার্ভার থেকে এসএসএল শংসাপত্র প্রত্যাখ্যান করছে। সমস্যাটি মনে হচ্ছে কিছু কম্পিউটার সিএ সার্টগুলি প্রত্যাখ্যান করছে। সমস্যাটি ম্যাক ওএস এক্স 10.6-এ পুরোপুরি আপডেট না হওয়া অবস্থায় প্রকাশিত হবে বলে মনে হচ্ছে।

Http://www.sslshopper.com/index.php?q=ssl-checker.html#hostname=beta.asana.com - এর মতে কোনও সমস্যা নেই।

Http://certlogik.com/sslchecker/ এর মতে , কোনও মধ্যবর্তী শংসাপত্রগুলি পাঠানো হচ্ছে না।

আমার সার্টটি স্টারফিল্ড টেকনোলজিস থেকে, এবং আমি এখান sf_bundle.crtথেকে ব্যবহার করছি : certs.godaddy.com/anonymous/repository.seam

আমি নিম্নলিখিত সহ স্ট্রানলের মাধ্যমে আমার সার্ভারে এসএসএল পরিচালনা করছি stunnel.conf:

cert = $CODEZ/admin/production/proxy/asana.pem
CAfile = $CODEZ/admin/production/proxy/sf_bundle.crt
pid =
client = no

[<forwarded port>]
accept = 443
connect = 8443

কোন ধারণা আমি ভুল হতে পারে কি?

ssl  ssl-certificate  stunnel 
জ্যাক স্টাহল
সূত্র

উত্তর:

17

CAFileবিকল্প ক্লায়েন্ট প্রমাণীকরণ সার্টিফিকেট ব্যবহার করার জন্য একটি CA কনফিগার; এটি আপনি যা চান তা নয়

পরিবর্তে, আপনি certপুরো প্রযোজ্য শংসাপত্র শৃঙ্খলাটি ধারণ করতে বিকল্পটিতে ফাইলটি কারুকাজ করতে চান । আপনি সেই ফাইলটির একটি ব্যাকআপ কপি সংরক্ষণ করতে চান, তারপরে একটি নতুন তৈরি করুন; মূলত দুটি ফাইলের সংমিশ্রণ, এর মতো ফর্ম্যাট করা:

-----BEGIN CERTIFICATE-----
(certificate from asana.pem file pasted here)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(intermediate certificate here; copy-paste the top chunk from the bundle)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(root certificate here; copy-paste the bottom chunk from the bundle)
-----END CERTIFICATE-----

এটি খড়কে ক্লায়েন্টদের কাছে সম্পূর্ণ শংসাপত্র চেইন উপস্থাপন করতে বাধ্য করবে।

আরও একটি জোয়ার; openssl s_clientকমান্ড শংসাপত্রের শৃঙ্খলা বিষয় পরীক্ষা এবং চেক কিভাবে আপনার সেবা তার সার্টিফিকেট উপস্থাপন করছেন জন্য খুবই দরকারী।

সম্পাদনা: ঠিক আছে .. certificate শংসাপত্রের বান্ডেলের চেইনটি তিন-গভীর, তবে বিশ্বাস শৃঙ্খলাটি দুটি গভীর deep কিছু একটা সঠিক নেই।

শীর্ষ সার্টিফিকেট ("স্টারফিল্ড সিকিউর সার্টিফিকেশন অথরিটি") "স্টারফিল্ড ক্লাস 2 সার্টিফিকেশন অথরিটি" নামে একটি ইস্যুকারী স্বাক্ষরিত যার সাথে থাম্বপ্রিন্ট দিয়ে শুরু করা হবে ad7e1c28.. তবে বান্ডলে দ্বিতীয় সার্ট, প্রথম সারির স্বাক্ষরকারীর ঠিক একই নামযুক্ত, যা হুবহু একই শংসাপত্র হওয়া উচিত , এর একটি থাম্বপ্রিন্ট শুরু হওয়া উচিত 363e4734এবং 10 বছর আগে একটি মেয়াদোত্তীর্ণের তারিখ। তারপরে তৃতীয় (মূল) শংসাপত্রটি অন্তর্ভুক্ত ইন্টারমিডিয়েট সার্টের স্বাক্ষরকারী .. তবে এই দুজনের কোনওটিরই প্রথমটির সাথে কোনও সম্পর্ক নেই!

যদি তা বোঝা না যায় তবে চিন্তা করবেন না। সংক্ষিপ্তসার: opিলে কাজ, কেউ এই সিরিট বান্ডিলটি তৈরির সাথে মারাত্মকভাবে বল ফেলে দিয়েছে। আপনার সেরা বাজিটি হ'ল একটি ব্রাউজার থেকে বেস-64 format ফর্ম্যাটে ফাইলগুলি রফতানি করা যা চেইনকে সাফল্যের সাথে বৈধ করে, সেখান থেকে তালিকাভুক্ত ফর্ম্যাটে এগুলি আটকানো।

যেহেতু এটি আপনার নিজের কোনও দোষের কারণে একটি বিভ্রান্তিকর জগাখিচুড়ি, আমি আপনার ডিএনএস নামটি দেখে অনুমান করেছি এবং শংসাপত্রটি ধরলাম, এবং আমি মনে করি এটি আপনার প্রয়োজন সম্পূর্ণ চেইন হওয়া উচিত: http://pastebin.com/Lnr3WHc8

শেন ম্যাডেন
সূত্র
ধন্যবাদ এটি অত্যন্ত দরকারী ছিল! আমি উত্সাহ দিতে পারছি না কারণ আমার কাছে রেপ পয়েন্ট নেই, তবে আমি :-) করব
জ্যাক স্টাহল
@ জ্যাক যদি আপনার সমস্যা সমাধান হয়ে যায় তবে আপনি কম প্রতিনিধিত্ব করেও উত্তরটি গ্রহণ করতে সক্ষম হবেন। আমি পোস্টটি এডিট করে দিয়েছি যে তারা যে শংসাপত্রের বান্ডিল সরবরাহ করেছে তা নষ্ট হয়ে গেছে .. এবং যেহেতু এতো গোলমাল, তাই আমি এগিয়ে গিয়েছিলাম এবং আপনার জন্য পুরো চেইন একসাথে ছুঁড়ে ফেলেছি।
শেন ম্যাডেন
1

পরিবর্তনগুলির পরে আপনার কনফিগারেশনটি পরীক্ষা করার জন্য কোয়ালিস এসএসএলএলস সত্যই কার্যকর।

https://www.ssllabs.com/ssldb/analyze.html

আপনি যে চেক পেয়েছেন

  • শক্তিশালী সাইফার সক্ষম
  • দুর্বল সাইফার অক্ষম
  • শংসাপত্র শৃঙ্খলা সম্পূর্ণ এবং সঠিক ক্রমে
বেন ওয়াল্ডিং
সূত্র
1

এই সমস্যার মুখোমুখি অন্য কারও জন্য শেনের পোস্টটি কৌশলটি করেছে, যদিও আমাকে সিএফাইল অন্তর্ভুক্ত করতে হয়েছিল। চেইনটি তৈরি করার সময়, এই নিবন্ধ অনুযায়ী ফাইলের নামকরণের নির্দেশাবলী অনুসরণ করেছেন তা নিশ্চিত করুন

আপনার যে ফাইলের নামটি ব্যবহার করা উচিত তা নির্ধারণ করতে, আপনি ওপেনএসএসএল ( /usr/local/ssl/miscডিরেক্টরিতে) এর সাথে আসা সি_হ্যাশ প্রোগ্রামটি ব্যবহার করতে পারেন :

c_hash some_certificate.pem
a4644b49.0 => some_certificate.pem

সুতরাং, উপরের ক্ষেত্রে আপনি ফাইলটির নাম পরিবর্তন করতে চান a4644b49.0
(দ্রষ্টব্য যে শূন্য, ফাইলের নামের পরে 'ও' অক্ষর নয়))

আপনার কাছে c_hashপ্রোগ্রামটি না থাকলে আপনি হ্যাশ মান নির্ধারণ করতে উপযুক্ত ওপেনএসএসএল কমান্ডটি চালাতে পারেন:

openssl x509 -hash -noout -in some_certificate.pem
a4644b49

এবং যদি আপনি এই সমস্যার মুখোমুখি হয়ে থাকেন তবে আপনি অ্যান্ড্রয়েড কর্ডোভা দিয়ে ওয়েবসকেটগুলি ব্যবহার করার চেষ্টা করছেন, তবে আপনার কর্ডোভা-হোয়াইটলিস্ট স্টাফগুলিতে ম্যানুয়ালি ডাব্লুএসএস যুক্ত করতে ভুলবেন না, কারণ * কেবলমাত্র http এবং https অন্তর্ভুক্ত রয়েছে।

BrightEyed
সূত্র
আপনি যে নিবন্ধটি লিঙ্ক করেছেন তার শীর্ষে একটি বৃহত লাল ব্যানার রয়েছে যা এই পৃষ্ঠাটিকে হ্রাস করা হয়েছে তা নিশ্চিত আপনি কি নিশ্চিত যে এই তথ্যটি সঠিক, যেমন সমর্থিত — বা যেমন-করা উচিত-করা উচিত, যেমনটি করা উচিত লেখা?
অস্টিনিয়ান
2
ইতিবাচক, কমপক্ষে কেবল উদ্ধৃত অংশের জন্য। আপনি যদি ফাইলটির হ্যাশ হিসাবে শংসাপত্র শৃঙ্খলাটির নাম না রাখেন তবে স্টানেল একটি দাবদাহ করে।
উজ্জ্বল চোখের
এছাড়াও, .0 সংযুক্তকরণটি আমাদের জন্য প্রয়োজনীয় ছিল না। বিটিডব্লির বানান সংশোধন করার জন্য ধন্যবাদ, একটি দীর্ঘ রাত পরে পোস্টটি বেছে নিয়েছে; ডি
ব্রাইটইয়েড
দুর্দান্ত, ভেরিফিকেশন শুনে খুশি। আমি বুঝতে পেরেছি, আমি এখন আমার পরপর 3 র্থ দীর্ঘ দিন এ। (11, তারপরে 14 ঘন্টা, আজ আরও 14 ঘন্টা হতে পারে))
অস্টিনিয়ান
1
আইশ, আইটি স্বপ্নে বেঁচে আছেন: ডি
ব্রাইটইড
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.