ওসিএসপি বৈধতা - স্থানীয় ইস্যুকারী শংসাপত্র পেতে অক্ষম

17

আমি স্ক্র্যাচ থেকে এসএসএল সেটআপ করতে নতুন এবং আমার প্রথম পদক্ষেপগুলি করেছি। আমি আমার ডোমেনের জন্য র‌্যাপিডএসএসএল থেকে একটি এসএসএল শংসাপত্র কিনেছি এবং সেখানে শংসাপত্রটি ইনস্টল করার পদক্ষেপগুলি অনুসরণ করেছি। সাধারণভাবে শংসাপত্রটি বৈধ এবং আমার ওয়েবসারভারে কাজ করছে (এনগিনেক্স ভি 1.4.6 - উবুন্টু 14.04.1 এলটিএস), তবে আমি যদি ওসিএসপি ওসিএসপি সক্রিয় করার চেষ্টা করছি তবে আমি আমার এনজিএনএক্স ত্রুটিতে নিম্নলিখিত ত্রুটিটি পেয়েছি: ব্লগ:

OCSP_basic_verify () ব্যর্থ হয়েছে (এসএসএল: ত্রুটি: 27069065: ওসিএসপি রুটিনস: ওসিএসপি_বাসিক_প্রাপ্ত: শংসাপত্র যাচাইয়ের ত্রুটি: ত্রুটি যাচাই করুন: স্থানীয় ইস্যুকারীর শংসাপত্র পেতে অক্ষম) শংসাপত্রের স্থিতি অনুরোধ করার সময়, উত্তরদাতা: gv.symcd.com

কমান্ড লাইন থেকে এই কমান্ডটি দিয়ে চেষ্টা করেছিলাম:

ওপেনএসএল এস_ক্লিয়েন্ট -কেনড মাইডোমাইন.টल्ड: 443 2> & 1 </ dev / নাল

এবং আমার ত্রুটির মতো "একই" ত্রুটি পেয়েছে log

[...] এসএসএল-অধিবেশন: প্রোটোকল: TLSv1.2 সাইফার: ECDHE-RSA-AES256-GCM-SHA384 [...] শুরুর সময়: 1411583991 সময়সীমা: 300 (সেকেন্ড) রিটার্ন কোড যাচাই করুন: 20 (স্থানীয় পেতে অক্ষম জারিকারী শংসাপত্র)

তবে যদি জিও ট্রাস্ট রুট শংসাপত্রটি ডাউনলোড করেন এবং এই আদেশ দিয়ে এটি ব্যবহার করে দেখুন:

ওপেনএসএল s_client- সংযুক্ত mydomain.tld: 443 -ফায়াল্ট জিও ট্রাস্ট_গ্লোবাল_সিএ.পিএম 2> & 1 </ dev / নাল

যাচাই ঠিক আছে:

[...] এসএসএল-অধিবেশন: প্রোটোকল: TLSv1.2 সাইফার: ECDHE-RSA-AES256-GCM-SHA384 [...] শুরুর সময়: 1411583262 সময়সীমা: 300 (সেকেন্ড) রিটার্ন কোড যাচাই করুন: 0 (ঠিক আছে)

সুতরাং কোনওভাবে জিও ট্রাস্ট রুট সার্ট পাওয়া যায়নি বা সরবরাহ করা হয় না।

আমার nginx সাইট কনফিগারেশন:

server {
    listen 443;
    server_name mydomain.tld;

    ssl on;
    ssl_certificate /etc/ssl/certs/ssl.crt;
    ssl_certificate_key /etc/ssl/private/ssl.key;


    # Resumption
    ssl_session_cache shared:SSL:20m;

    # Timeout
    ssl_session_timeout 10m;

    # Security options
    ssl_prefer_server_ciphers on;
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
    ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

    # OCSP Stapling
    # It means that you sent status info about your certificate along with the request,
    # instead of making the browser check the certificate with the Certificate Authority.
    # This removes a large portion of the SSL overhead, the CloudFlare post above explains it in more detail.
    ssl_stapling on;
    ssl_stapling_verify on;
    #ssl_trusted_certificate /etc/ssl/certs/ssl.pem;

    #resolver 8.8.8.8 8.8.4.4 valid=300s;
    #resolver_timeout 10s;

    # This forces every request after this one to be over HTTPS
    add_header Strict-Transport-Security "max-age=31536000";[...]};

র‌্যাপিডএসএসএল তার ডকুমেন্টেশনে লিখেছেন যে নিম্নলিখিত আদেশের সাথে আমার নিম্নলিখিত শংসাপত্রগুলি এসএসএল সিআরটিতে যুক্ত করা উচিত:

  1. myserver.crt
  2. মধ্যবর্তী সিএ বান্ডিল (র‌্যাপিডএসএল এসএএএল 256 সিএ - জি 3)
  3. মধ্যবর্তী সিএ বান্ডিল (জিও ট্রাস্ট গ্লোবাল সিএ)

তাই আমি...

এই মুহূর্তে আমার কোন ধারণা নেই আমি কী ভুল করছি ... আশা করি এখানে কেউ আমাকে সহায়তা করতে পারে।

ধন্যবাদ!

nginx  ssl-certificate  ubuntu-14.04  ocsp 
kapale
সূত্র

উত্তর:

17

ত্রুটি বার্তা একই থাকলেও এই দুটি ত্রুটি সম্পর্কিত নয়।

[...] এসএসএল-অধিবেশন: প্রোটোকল: TLSv1.2 সাইফার: ECDHE-RSA-AES256-GCM-SHA384 [...] শুরুর সময়: 1411583991 সময়সীমা: 300 (সেকেন্ড) রিটার্ন কোড যাচাই করুন: 20 (স্থানীয় পেতে অক্ষম জারিকারী শংসাপত্র)

উপরের ত্রুটিটি openssl_client কমান্ড জারি করা হয়েছিল । ফ্লোরিয়ান হিগলের ব্যাখ্যা অনুসারে, আপনি এই ত্রুটিটি পান কারণ ওপেনস্ল_স্লায়েন্টের জন্য গ্লোবালসাইন রুট শংসাপত্রের প্রয়োজন /etc/ssl/certs

OCSP_basic_verify () ব্যর্থ হয়েছে (এসএসএল: ত্রুটি: 27069065: ওসিএসপি রুটিনস: ওসিএসপি_বাসিক_প্রাপ্ত: শংসাপত্র যাচাইয়ের ত্রুটি: ত্রুটি যাচাই করুন: স্থানীয় ইস্যুকারীর শংসাপত্র পেতে অক্ষম) শংসাপত্রের স্থিতি অনুরোধ করার সময়, উত্তরদাতা: gv.symcd.com

এই ত্রুটির জন্য, এটি nginx ocsp রুটিন দ্বারা জারি করা হয়েছিল , বিশেষত যখন আপনি ssl_stapling_verify on;nginx.conf এ লাইন যুক্ত করেন।

থেকে কিছু উদ্ধৃতাংশ এখানে ডকুমেন্টেশন এর ssl_stapling_verifyব্যাখ্যা করতে কেন এটা ত্রুটি ছোঁড়ার

সিনট্যাক্স: ssl_stapling_verify অন | বন্ধ;

সার্ভার দ্বারা ওসিএসপি প্রতিক্রিয়াগুলির যাচাইকরণ সক্ষম বা অক্ষম করে।

কাজের জন্য যাচাইকরণের জন্য, সার্ভার শংসাপত্র জারিকারীর শংসাপত্র, রুট শংসাপত্র এবং সমস্ত মধ্যবর্তী শংসাপত্রগুলি ssl_trusted_certificate ডিরেক্টরি ব্যবহার করে বিশ্বস্ত হিসাবে কনফিগার করা উচিত।

অন্য কথায়, আপনাকে নির্দেশের জন্য (২) ইন্টারমিডিয়েট সিএ বান্ডেল (র‌্যাপিডএসএসএল এসএএল 256 সিএ - জি 3) এবং (3) ইন্টারমিডিয়েট সিএ বান্ডেল (জিও ট্রাস্ট গ্লোবাল সিএ) সরবরাহ করতে হবে ssl_trusted_certificate

cat GeoTrustGlobalCA.crt rapidsslG3.crt > ocsp-chain.crt

যোগ ocsp-chain.crtকরার জন্য ssl_trusted_certificateনির্দেশ।

masegaloeh
সূত্র
তোমাকে অনেক ধন্যবাদ! আমি এটি চেষ্টাও করেছিলাম, তবে ক্লাইম কমান্ড দিয়ে সর্বদা এটি পরীক্ষা করেছি।
কাপলে
আমরা মধ্যবর্তী সার্টিফিকেটগুলি কোথায় পাব?
ইঙ্গো
1

আমি কেবল এর একটি অংশের উত্তর দিতে পারি।

ওপেনএসএল এস_ক্লিয়েন্ট -কেনড মাইডোমাইন.টल्ड: 443 2> & 1 </ dev / নাল

/ ইত্যাদি / এসএসএল / সার্টে গ্লোবালসাইন রুট শংসাপত্রের প্রয়োজন হবে। একটি সিএ-শংসাপত্র প্যাকেজ রয়েছে, আপনি কি এটি ইনস্টল করেছেন?

ফ্লোরিয়ান হেইগল
সূত্র
আমি বুঝতে পারছি না কেন র্যাপিডএসএসএল এবং জিও ট্রাস্টের সাথে ডিল করার সময় গ্লোবালসাইন রুট সার্ট ব্যবহার করবেন ?? তারা গ্লোবালসাইন থেকে আলাদা ... আমি ভুল হলে আমাকে সংশোধন কর!
ডিজিটাল সাইট
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.