ওয়াইল্ডকার্ড এসএসএল ব্রাউজার / ওএস / কম্পিউটারগুলি জুড়ে বেমানান আচরণ করে

5

আমি মিডিয়া টেম্পলস ডেডিকেটেড ভার্চুয়াল 4.0 এর সাথে হোস্ট করা একটি ডোমেনে একটি ওয়াইল্ডকার্ড এসএসএল শংসাপত্র ইনস্টল করেছি। এখানে একটি সহজ উদাহরণ পৃষ্ঠা যা আমি এসএসএল-এর মাধ্যমে পরিবেশন করার চেষ্টা করছি: https://ssltest.bblhosted.com/

এখন, আমি জিজ্ঞাসা করা অন্যান্য লোকেদের (প্রায় 4 বা 5) তারা বলছেন যে সাইটটি তাদের কম্পিউটারে, বিভিন্ন ব্রাউজারে কোনও সুরক্ষা সতর্কতা না দিয়ে ঠিকঠাক কাজ করে। তবে আমি আমার কম্পিউটারে বেমানান ফলাফল পাচ্ছি।

এখানে আমার ফলাফল। আমি সাম্প্রতিক ওএসএক্স চালিয়ে যাচ্ছি উইন্ডোজ 7 সমান্তরাল দিয়ে চলমান এবং সমস্ত ব্রাউজারের সর্বশেষ সংস্করণ:

ওএসএক্স / ফায়ারফক্স: প্যাডলক শো, কোনও সমস্যা নেই। উইন্ডোজ 7 / ফায়ারফক্স: সতর্কতা - 'এই সংযোগটি অবিশ্বস্ত'

ওএসএক্স / ক্রোম: সতর্কতা - 'এই সাইটের সুরক্ষা বিশ্বাসযোগ্য নয়!' উইন্ডোজ / / ক্রোম: গ্রিন প্যাডলক - 'র‌্যাপিডএসএসএল সিএ দ্বারা পরিচয় যাচাই করা হয়েছে'।

ওএসএক্স / অপেরা: সতর্কতা - 'এই সার্ভারের শংসাপত্র শৃঙ্খলা অসম্পূর্ণ, এবং স্বাক্ষরকারীরা নিবন্ধভুক্ত নয়। স্বীকার করবেন? ' উইন্ডোজ / / অপেরা: প্যাডলক শো, 'নিরাপদে সংযুক্ত, পরিষ্কার সুরক্ষা রেকর্ড'।

ওএসএক্স / সাফারি: সতর্কতা - 'সাফারি ওয়েবসাইটের পরিচয় যাচাই করতে পারে না'

উইন্ডোজ / / আইই: প্যাডলক শো করে, 'সার্ভারের সাথে এই সংযোগটি এনক্রিপ্ট করা হয়েছে'।

আমার প্রশ্ন হ'ল এখানে কেউ কী কারণে সমস্যা সৃষ্টি করতে পারে বা কীভাবে এটি সংশোধন করতে হবে সে সম্পর্কে কোনও অন্তর্দৃষ্টি দিতে পারে? এটি আমার কম্পিউটারে কেবল সমস্যা হতে পারে এবং যদি তাই হয় তবে কী? বিশেষত আশ্চর্যের বিষয় হ'ল আমি একই ব্রাউজারগুলির জন্য ওএসএক্স বনাম উইন্ডোজ on এর বিপরীত ফলাফল পেয়েছি।

এমনকি আপনি কী ব্রাউজার / ওএস ব্যবহার করছেন এবং এটি আপনার জন্য কাজ করেছে কিনা তা আপনি কেবল মন্তব্য করতে পারেন, তা দুর্দান্ত! ধন্যবাদ।

_______ হালনাগাদ:

র‌্যাপিড এসএসএলের প্রাথমিক ইমেলটি আমাকে একটি শংসাপত্র এবং একটি সিএ শংসাপত্র দেয়। ক্রিস্টোফার পেরিনের সাথে লিঙ্কযুক্ত দুটি সিএ শংসাপত্র এখানে যুক্ত করার জন্য আমি এটি আপডেট করেছি ।

আমি র‌্যাপিড এসএসএলের সরঞ্জামটির সাহায্যে ssltest.bblhosted.com পরীক্ষা করেছি এবং এটি বলেছে যে সবকিছু সঠিকভাবে সেট আপ হয়েছে (যদিও সিএ শংসাপত্র পরিবর্তন করার আগেও সেই সরঞ্জামটি একটি সাফল্য পেয়েছিল)।

এই সরঞ্জামটি একটি ত্রুটি দেয় - এবং বলে এটি সম্ভবত মধ্যবর্তী শংসাপত্রের সমস্যা।

আমি প্লেস্কের মাধ্যমে শংসাপত্রটি আপডেট করছি এবং আমি সতর্কতাটি পেয়েছি "সতর্কতা: সিএ শংসাপত্র শংসাপত্রটিতে স্বাক্ষর করে না" ", যদিও এটি অনুসারে , আপনি সাধারণত সেই সতর্কতাটিকে উপেক্ষা করতে পারেন।

এসএসএল https://www.bblhosted.com/ , https://bblhosted.com/ এবং https://anythinggoeshere.bblhosted.com/- এর জন্য দুর্দান্ত কাজ করে - এটি কেবলমাত্র সাবডোমেনগুলির পক্ষে কাজ করে না যা স্পষ্টভাবে সেট আপ করা হয়েছে।

var / লগ / httpd / ত্রুটি_লগে, আমার মধ্যে বেশ কিছু ত্রুটি রয়েছে যেমন: "আরএসএ সার্ভার শংসাপত্র ওয়াইল্ডকার্ড সাধারণ নাম (সিএন)` * .bblhosted.com 'সার্ভারের সাথে মেলে না !? "

এবং ssl_error_log এ, আমার মতো ত্রুটিগুলির একটি গুচ্ছ রয়েছে: "[সতর্ক করুন] আরএসএ সার্ভার শংসাপত্রটি একটি সিএ শংসাপত্র (বেসিক কনট্রেন্টস: সিএ == সত্য !?)"

আমি কী বোঝাতে পেরেছি তা যথেষ্ট অভিজ্ঞ নয়। আগামীকাল যুদ্ধ চালিয়ে যাব!

security  ssl  https  ssl-certificate 
joshua.paling
সূত্র
1
অপেরা ত্রুটিটি This server's certificate chain is incompleteসম্ভবত আপনাকে সঠিক স্থির দিকে নিয়ে যায়।
জোরেডেচ
পিসি কোনও অপারেটিং সিস্টেম নয়
দুঃখিত, আমি উল্লেখ করেছি যে আমি সাম্প্রতিক ওএসএক্স চালাচ্ছি, উইন্ডোজ 7 সমান্তরাল দিয়ে চলছে, যাতে লোকেরা সম্ভবত পিসির দ্বারা আমি কী উল্লেখ করছি তা নির্ধারণ করতে পারে। যাই হোক, আমি এখন উইন্ডোজ 7. পিসি পরিবর্তন করেছি
joshua.paling

উত্তর:

8

এটি সম্ভব যে আপনার শংসাপত্র শৃঙ্খলা সম্পূর্ণ নয়। আপনার র‌্যাপিডএসএসএল সিএ বান্ডিল যুক্ত করতে হতে পারে । আপনার শংসাপত্র

অ্যাপাচে আপনার বিকল্প রয়েছে SSLCertificateChainFile। আপনি যেখানে র‌্যাপিডএসএসএল সিএ বান্ডেলটি সংরক্ষণ করেছেন সেই পথে সেট করুন ।

আরেকটি বিকল্প হ'ল চেইন শংসাপত্রগুলি আপনার নিজের শংসাপত্রে এ জাতীয় সংযোজন করে নিজের নিজের সাথে যুক্ত করা

cat mycert.pem RapidSSL_CA_bundle.pem >> mychainedcert.pem

এই সমস্যার সমাধান করা উচিত।

ব্যাখ্যা

আপনি অবশ্যই রেপিডএসএসএলে আপনার শংসাপত্র কিনেছেন SS যদিও আপনার ব্রাউজারগুলি বিশ্বাস করে এমন একটি সিএই র্যাপিডএসএসএল নয়। এটি কোনও সমস্যা নয় কারণ আপনার ব্রাউজারটি জিও ট্রাস্টকে বিশ্বাস করে এবং জিও ট্রাস্টে র‌্যাপিডএসএলকে বিশ্বাস করে। আপনাকে কেবল ব্রাউজারকে এমন শংসাপত্র প্রদর্শন করতে হবে যা এটি প্রমাণ করে। এজন্য আপনাকে চেইন ফাইল অন্তর্ভুক্ত করতে হবে।

ক্রিস্টোফার পেরিন
সূত্র
এটি সম্ভবত সঠিক উত্তর।
এটিজিসি
3

ঠিক আছে তাই ক্রিস্টোফার পেরিন আমাকে SSLCertificateChainFileধন্যবাদ দিয়ে - তারা অন্য কাউকে সাহায্য করার ক্ষেত্রে এখানে নির্দিষ্টকরণ রয়েছে। আমি প্লেস্ক ১১ ব্যবহার করছি, এবং স্পষ্টতই আমি যে পথগুলি উল্লেখ করেছি সেগুলি অন্যদের জন্য আলাদা হবে।

আমি যখন সাবডোমেন ssltest.bblhosted.com তৈরি করি তখন প্লেস্ক একটি ফাইল /var/www/vhosts/ssltest.bblhosted.com/conf/13558069200.18494000_httpd.include(বা অনুরূপ) তৈরি করে। এই ফাইলটি কার্যকরভাবে একটি vhost.conf ফাইলের উদ্দেশ্যে (বা vhost_ssl.conf) পরিবেশন করে, এটি প্লেস্কের মাধ্যমে স্বয়ংক্রিয়ভাবে উত্পন্ন হয় এবং আপনি যখন প্লেস্কের মাধ্যমে সেটিংস পরিবর্তন করেন তখন প্রতিটি সময় স্বয়ংক্রিয়ভাবে ওভাররাইড হয়ে যায়।

ফাইলটিতে লাইন রয়েছে:

SSLCertificateFile /usr/local/psa/var/certificates/cert-Eq8jue

যা দেখায় আমার এসএসএল শংসাপত্রটি কোথায় পাবেন shows এতে যা থাকে না তা হ'ল সিএ শংসাপত্রটি কোথায় পাওয়া যায় তা নির্দেশ করে line সুতরাং এটিতে লাইন থাকা উচিত:

SSLCertificateChainFile /usr/local/psa/var/certificates/cert-t8ReAO

(স্পষ্টতই পথটি আপনার নিজের সিএ শংসাপত্রের দিকে নির্দেশ করবে)। আমি যতদূর বলতে পারি, এই লাইনটি অন্তর্ভুক্ত নয় এমন বিষয়টি প্লেস্কে থাকা একটি বাগ। আপনি সেই ফাইলটিতে লাইনটি সরাসরি SSLCertificateFileলাইনের নীচে যুক্ত করতে পারেন , এবং তারপরে অ্যাপাচি পুনরায় আরম্ভ করতে পারেন, এবং এটি কাজ করবে - তবে আপনি যদি এটি করেন, ফাইলটি পরের বার আপনি প্লেস্কে সেই ডোমেনের জন্য সেটিংস পরিবর্তন করবেন এবং আপনি আপনার পরিবর্তনগুলি হারাবেন। ফাইলের শীর্ষে, প্লেস্ক এই সতর্কতা দেয়:

#ATTENTION!
#
#DO NOT MODIFY THIS FILE BECAUSE IT WAS GENERATED AUTOMATICALLY,
#SO ALL YOUR CHANGES WILL BE LOST THE NEXT TIME THE FILE IS GENERATED.
#
#IF YOU REQUIRE TO APPLY CUSTOM MODIFICATIONS, PERFORM THEM IN THE  FOLLOWING FILES:

#/var/www/vhosts/ssltest.bblhosted.com/conf/vhost.conf
#/var/www/vhosts/ssltest.bblhosted.com/conf/vhost_ssl.conf

সুতরাং, আমি /var/www/vhosts/ssltest.bblhosted.com/conf/vhost_ssl.confএটিতে একটি একক লাইন তৈরি করেছি এবং যুক্ত করেছি:

SSLCertificateChainFile /usr/local/psa/var/certificates/cert-t8ReAO

আপনার একক লাইন ছাড়া আর কিছু যুক্ত করার দরকার নেই। আমি যা জানি, অন্য সমস্ত সেটিংস এখনও প্লেস্কের দ্বারা উত্পাদিত ডিফল্ট httpd.inc ফাইল থেকে নেওয়া হবে।

এখন, আপনাকে প্লেস্ককে vhost_ssl.conf ফাইলটি সন্ধান করতে হবে, কারণ এটি ডিফল্টরূপে হবে না - যদিও আপনি এটি তৈরি করেছেন! এসএসএইচ এর মাধ্যমে লগ ইন করে এবং এই আদেশটি কার্যকর করে:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

এটি প্লেস্ককে সমস্ত ডোমেনের জন্য vhost.conf (এবং vhost_ssl.conf) সন্ধান করতে বলবে। প্রয়োজনে আপনি এটি কেবল একটি একক ডোমেনের জন্যও করতে পারেন।

শেষ, অ্যাপাচি পুনরায় আরম্ভ করুন এবং এসএসএল কাজ করে!

মনে রাখবেন যে আপনি যদি অন্য সাবডোমেন যোগ করেন তবে আপনার নতুন ডোমেন বা সাবডোমেনের জন্য প্লেস্ককে vhost.conf এবং vhost_ssl.conf সন্ধান করার জন্য টার্মিনাল কমান্ড কার্যকর করা সহ আপনাকে আবার পুরো প্রক্রিয়াটি অতিক্রম করতে হবে।

joshua.paling
সূত্র
আপনি যদি কোনও ফাইলটিতে শংসাপত্র এবং চেইন শংসাপত্রগুলি একত্রিত করেন তবে কাজ করবে না। তারপরে আপনার এসএসএল সার্টিফিকেট চেইনফিল নির্দেশিকা আফাইক দরকার হবে না।
ক্রিস্টোফার পেরিন
আমি একটি ফাইলে শংসাপত্র এবং সিএ শংসাপত্র মার্জ করার চেষ্টা করেছি এবং এসএসএল সার্টিফিকেট চেইনফিলের নির্দেশটি অক্ষম করে দিয়েছি। এটি আমার পক্ষে কাজ করে না।
জোশুয়া.পালিং
2

আমি সম্প্রতি এই দৃশ্যের ঠিক কনফিগার করেছি। আমাকে আরও যাচাই করতে হবে, তবে:

আপনার শংসাপত্রের বিশদটি যাচাই করার সময় আপনি পাবেন:

নোম ডিএনএস: * .bblhosted.com নোম ডিএনএস: bblhosted.com

আপনি bblhosted.com পেয়েছেন AltDNSName হিসাবে।

রুট ডোমেনের জন্য একটি শংসাপত্র এবং প্রতিটি অন্যের ডোমেনের জন্য একটি ওয়াইল্ডকার্ড শংসাপত্র রেখে আপনি যে আচরণটি অনুভব করছেন তা আমি পেয়েছি।

এইভাবে শংসাপত্রের প্যাটার্ন মাস্কটি প্রদত্ত url এর সাথে সমস্ত ব্রাউজারের জন্য এটি পরীক্ষা করা উচিত সমস্ত সম্ভাব্য উপায়ে মিলবে।

টিএল; ডিআর: দুটি নতুন শংসাপত্র পান, একটিতে কেবল "বিবিএলহোস্টেড ডটকম" এর সাথে ওয়েলডেন্সনাম / সিএন এবং একটি "* .bblhosted.com" সহ পাবেন।

সম্পাদনা: আপনি http://www.cacert.org এ ছেলেরা দ্বারা বিনামূল্যে কিছু শংসাপত্র চালিয়ে সমস্যাটি কিনা তা পরীক্ষা করতে পারেন । আমি কোনও বাণিজ্যিক শংসাপত্র নিয়ে মাথা ঘামাইনি এবং সেগুলি আমার প্রধান এসএসএল শংসাপত্র হিসাবে রয়েছে। একমাত্র ঝামেলা হল বেশিরভাগ ওএস তাদের রুট শংসাপত্রটি প্রেরণ করে না, তাই আপনাকে এটি নিজেরাই ইনস্টল করতে হবে।

ItsGC
সূত্র
0

শংসাপত্রটিতে ইস্যুকারীর শংসাপত্রের URL সহ একটি বিশেষ কর্তৃপক্ষের তথ্য অ্যাক্সেস এক্সটেনশন ( আরএফসি -3280 ) থাকতে পারে। শংসাপত্র শৃঙ্খলা সম্পূর্ণ করতে বেশিরভাগ ব্রাউজারগুলি অনুপস্থিত মধ্যবর্তী শংসাপত্রটি ডাউনলোড করতে এআইএ এক্সটেনশন ব্যবহার করতে পারে। তবে কিছু ক্লায়েন্ট (মোবাইল ব্রাউজার, ওপেনএসএসএল) এই এক্সটেনশানটিকে সমর্থন করে না, তাই তারা এই জাতীয় শংসাপত্রটিকে অবিশ্বস্ত হিসাবে রিপোর্ট করে।

এই জাতীয় সমস্যাগুলি রোধ করতে আপনি শংসাপত্র থেকে বিশ্বস্ত রুট সার্টিফিকেটে (একচেটিয়া, এই ক্রমে) সমস্ত শংসাপত্রকে সম্মতি দিয়ে অসম্পূর্ণ শংসাপত্র চেইনের সমস্যাটি ম্যানুয়ালি সমাধান করতে পারেন । দ্রষ্টব্য, বিশ্বস্ত রুট শংসাপত্রটি থাকা উচিত নয়, কারণ এটি ইতিমধ্যে সিস্টেমের মূল শংসাপত্রের দোকানে অন্তর্ভুক্ত রয়েছে।

আপনার ইস্যুকারীের কাছ থেকে মধ্যবর্তী শংসাপত্রগুলি আনতে সক্ষম হবে এবং সেগুলি নিজেই তাদের সাথে একত্রিত করতে হবে। বিটিডব্লিউ, আমি প্রক্রিয়াটি স্বয়ংক্রিয় করার জন্য একটি স্ক্রিপ্ট লিখেছি, এটি সঠিকভাবে শিকলযুক্ত শংসাপত্রগুলির আউটপুট উত্পাদন করতে এআইএ এক্সটেনশনের উপর দিয়ে যায়। https://github.com/zakjan/cert-chain-resolver

zakjan
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.