SSL'yi sıfırdan kurmak için yeniyim ve ilk adımlarımı yaptım. Etki alanım için RapidSSL'den bir SSL sertifikası aldım ve sertifikayı yüklemek için adımları izledim. Genel olarak sertifika geçerli ve web sunucum üzerinde çalışıyor (nginx v1.4.6 - Ubuntu 14.04.1 LTS), ancak OCSP OCSP'yi etkinleştirmeye çalışıyorsam, nginx hatamda aşağıdaki hatayı alıyorum: log:
OCSP_basic_verify () başarısız oldu (SSL: hata: 27069065: OCSP yordamları: OCSP_basic_verify: sertifika doğrulama hatası: Doğrulama: yerel yayıncı sertifikası alınamıyor) sertifika durumu istenirken, yanıtlayan: gv.symcd.com
Komut satırından bu komutla da denedim:
openssl s_client -connect etkialanim.tld: 443 2> & 1 </ dev / null
Ve benim error.log gibi "aynı" hata var:
[...] SSL Oturumu: Protokol: TLSv1.2 Şifre: ECDHE-RSA-AES256-GCM-SHA384 [...] Başlangıç Zamanı: 1411583991 Zaman Aşımı: 300 (sn) Dönüş kodunu doğrulayın: 20 (yerel alınamıyor ihraççı sertifikası)
Ancak GeoTrust Kök Sertifikasını indirin ve bu komutla deneyin:
openssl s_client -connect etkialanım.tld: 443 -CAfile GeoTrust_Global_CA.pem 2> & 1 </ dev / null
Doğrulama tamam:
[...] SSL Oturumu: Protokol: TLSv1.2 Şifre: ECDHE-RSA-AES256-GCM-SHA384 [...] Başlangıç Zamanı: 1411583262 Zaman Aşımı: 300 (sn) Dönüş kodunu doğrulayın: 0 (tamam)
Yani bir şekilde GeoTrust Kök Sertifikası bulunamıyor / sunulmuyor.
Nginx site yapılandırmam:
server {
listen 443;
server_name mydomain.tld;
ssl on;
ssl_certificate /etc/ssl/certs/ssl.crt;
ssl_certificate_key /etc/ssl/private/ssl.key;
# Resumption
ssl_session_cache shared:SSL:20m;
# Timeout
ssl_session_timeout 10m;
# Security options
ssl_prefer_server_ciphers on;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
# OCSP Stapling
# It means that you sent status info about your certificate along with the request,
# instead of making the browser check the certificate with the Certificate Authority.
# This removes a large portion of the SSL overhead, the CloudFlare post above explains it in more detail.
ssl_stapling on;
ssl_stapling_verify on;
#ssl_trusted_certificate /etc/ssl/certs/ssl.pem;
#resolver 8.8.8.8 8.8.4.4 valid=300s;
#resolver_timeout 10s;
# This forces every request after this one to be over HTTPS
add_header Strict-Transport-Security "max-age=31536000";[...]};
RapidSSL belgelerinde aşağıdaki sertifikaları ssl.crt dosyasına aşağıdaki sırayla eklemem gerektiğini yazdı:
- myserver.crt
- Ara CA Paketi (RapidSSL SHA256 CA - G3)
- Orta Düzey CA Paketi (GeoTrust Global CA)
Ben de yaptım...
Şu anda neyi yanlış yaptığımı bilmiyorum ... umarım buradaki herkes bana yardımcı olabilir.
Teşekkür ederim!