Gnu / Linux'un Windows tarafından kullanıma hazır bir sertifikaya güvenmesi nasıl sağlanır?

Bu SSL kontrolünde bildirildiği gibi, SSL zinciri bozuk bir sunucu var :

Bu sunucunun kendisi üzerinde çözülmesi gereken bir sorun olduğunu biliyorum , ama bazen bu düzeltmek zor (sunucunun yöneticisi değilim).

Mesele şu ki, Windows'taki Chrome / Mozilla / Edge , site sertifikasına yine de güveniyor :

Ancak, Gnu / Linux dağıtımı (Docker içinde Ubuntu 18.04) sertifika edilir değil güvenilen:

curl: (60) SSL certificate problem: unable to get local issuer certificate

update-ca-certificatesGlobalsign Root sertifikasını denedim ve hatta aldım . update-ca-certificatesbu durumda yinelenen bir sertifika bildirdi. Her neyse, hiçbir şey işe yaramıyor.

Nasıl çoğaltılır

Docker'ı kullanma:

docker run -it ubuntu:18.04

# within container:
apt-get update
apt-get -y install curl
curl https://betriebsheft.vog.it  # <---- "unable to get local issuer certificate"

Gnu / Linux'u bu sertifikaya nasıl güvenebilirim?

Not: Aynı sertifika başka bir sunucuya doğru bir şekilde dağıtıldı .

Bunun gerçek çözümü, sunucunuzun sadece son varlık (sunucu) sertifikasını değil, zincirdeki tüm sertifikaları sunmasını sağlamaktır .

Sunucu yöneticinizi , bu iletinin sunucunun sertifika zincirini istemciye ilettiğini açıkça belirten RFC 5246 Bölüm 7.4.2'ye yönlendirin .

Yöneticiniz bunu herhangi bir nedenle reddederse / yapamazsa, alternatif seçeneğiniz curlhatalı biçimlendirilmiş el sıkışma ile çalışmaya çalışmaktır.

Curl posta listesindeki bir mesaja göre:

Birisi cURL ara sertifikayı destekleyip desteklemediğini onaylayabilir mi?

Evet öyle. Tüm ca sertifikalarının kök dizinine kadar bir sertifika zinciri vardır. Kıvrılma ile kullandığınız ca demeti, tüm zincir için certs'ten oluşmalıdır.

/ daniel.haxx.se

Kök CA'yı ve tüm ara sertifikaları bir pakete ekleyebilmeniz curlve --cacert <file>seçeneği kullanarak ona yönlendirebilmeniz gerekir .

Tarayıcınız çalışırken, doğru CA sertifikalarına oradan erişebilirsiniz. Sertifikalar sekmesinde (her tarayıcı için farklıdır, ancak eminim ki bunu anlayacaksınız), sertifika zincirini görüntüleyin. Kök CA ilk çift tıklayın G1 - Globalsign Kök CA ve üzerinde Ayrıntılar sekmesinde, tıklayın ... dosyaya kopyala . Farklı kaydedin root.cer. İle aynı yapın SHA256 - - G2 AlphaSSL CA ve olarak kaydedin issuing.cer. İkisini tek bir dosyada birleştirin (örneğin chain.cer) ve bunu argüman olarak kullanın -cacert.

@AB tarafından nazikçe belirtildiği gibi, eksik sertifika da burada bulunabilir .

Tarayıcılarınız CA sertifikalarını önbelleğe aldıkları için çalışır. Geçmişte, sertifikası sunucunuzun sertifikasıyla aynı CA tarafından verilen, doğru yapılandırılmış bir web sitesine gittiyseniz, tarayıcı tarafından önbelleğe alınır. Daha sonra yanlış yapılandırılmış sitenizi ziyaret ettiğinizde, tarayıcınız zinciri oluşturmak için önbelleğindeki CA sertifikalarını kullanır. Size göre, her şey yolunda gibi görünüyor, ancak sahne arkasında sunucu yanlış yapılandırılmış.

Windows, IE / Edge ve Chrome'un aynı önbelleği paylaşırken, Firefox kendi önbelleğini kullandığını unutmayın.

Yukarıdakilere ek olarak, IE / Edge ve Chrome (aynı kripto yığınını paylaştıklarından) AuthorityInformationAccess adı verilen sertifikalar içinde bir uzantı kullanacaktır . Bu, son varlık sertifikasının CA sertifikasının indirilebileceği bir URL sağlayan bir caIssuer seçeneğine sahiptir. Bu nedenle, bu tarayıcılardan biri önceki taramalardaki eksik sertifikaları önbelleğe almamış olsa bile, gerektiğinde alabilir. Firefox'un bunu yapmadığını unutmayın, bu nedenle bazen Firefox IE / Edge ve Chrome çalışıyor gibi göründüğünde sertifika hataları gösterebilir.