1. घर
  2. सवाल और जवाब
  3. फ़ायरफ़ॉक्स और एसएसएल: sec_error_unknown_issuer

फ़ायरफ़ॉक्स और एसएसएल: sec_error_unknown_issuer

2008-11-09 16 views
56

फ़ायरफ़ॉक्स के साथ https://mediant.ipmail.nl पर जाकर मेरे क्लाइंट को sec_error_unknown_issuer त्रुटि संदेश प्राप्त होता है। मैं स्वयं त्रुटि को पुन: उत्पन्न नहीं कर सकता। मैंने एक विस्टा और एक एक्सपी मशीन पर एफएफ स्थापित किया और इसमें कोई समस्या नहीं थी। उबंटू पर एफएफ भी ठीक काम करता है।फ़ायरफ़ॉक्स और एसएसएल: sec_error_unknown_issuer

क्या किसी को भी वही त्रुटि मिलती है और क्या किसी के पास मेरे लिए कुछ सुराग हैं ताकि मैं कुछ सेटिंग्स बदलने के लिए अपने आईएसपी को बता सकूं? प्रमाण पत्र एक तथाकथित वाइल्ड-कार्ड SSL प्रमाणपत्र है जो सभी सबडोमेन (* .ipmail.nl) के लिए काम करता है। क्या मैं सबसे सस्ता चुनना गलत था?

स्रोत

2008-11-09 Overbeeke

उत्तर

2

फ़ायरफ़ॉक्स का कौन सा संस्करण आपके क्लाइंट का उपयोग कर रहा है?

लोगों को here in the Support Forum for Firefox दस्तावेज के समान समस्या है। मुझे उम्मीद है कि आप वहां एक समाधान पा सकते हैं। सौभाग्य!

अद्यतन:

अपने ग्राहक की जांच Firefox में सेटिंग्स हैं: "उन्नत" पर - "एन्क्रिप्शन" वहाँ एक बटन "देखें प्रमाण पत्र" है। सूची में "कॉमोडो सीए लिमिटेड" के लिए देखो। मैंने देखा कि कॉमोडो उस डोमेन नाम/सर्वर के प्रमाणपत्र का जारीकर्ता है। मेरी दो मशीनों (Vista और Mac पर FF 3.0.3) पर प्रविष्टि सूची में है (डिफ़ॉल्ट/मोज़िला द्वारा)।

alt text http://www.softpedia.com/screenshots/Portable-Firefox_8.png

स्रोत

2008-11-09 12:46:32 splattne

+0

विंडोज़ XP पर हालिया 3.03। – Overbeeke

+0

सूची में डालने का क्या मतलब है? क्या इसका मतलब यह है कि यह उस सूची में डिफ़ॉल्ट है जो मोज़िला द्वारा प्रदान किया गया है या आपने कभी कॉमोडो का प्रमाण पत्र स्वीकार किया था और फिर इसे सूची में जोड़ा गया था? – Overbeeke

+0

मेरा मतलब मोज़िला – splattne

39

बस एक Comodo वाइल्डकार्ड एसएसएल प्रमाणपत्र के साथ एक ही समस्या थी। डॉक्स पढ़ने के बाद समाधान सुनिश्चित करने के लिए आप प्रमाणपत्र श्रृंखला फ़ाइल वे यानी पर

SSLCertificateChainFile /etc/ssl/crt/yourSERVERNAME.ca-bundle

पूर्ण विवरण Comodo site

स्रोत

2009-06-22 09:34:27 user126810

+0

द्वारा डिफ़ॉल्ट रूप से मेरी समस्या है। धन्यवाद! – Leopd

+0

धन्यवाद। lighttpd उपयोग के लिए: 'ssl.engine =" सक्षम " ssl.pemfile =" /etc/ssl/certs/cert.pem " एसएसएल।ca-file = "/etc/ssl/certs/YourSSLCertAuthorityCA.crt" ' – pista329

+0

आप यहां कॉमोडो सर्टिफिकेट चेन फ़ाइल डाउनलोड कर सकते हैं: https://support.comodo.com/index.php?_m=downloads&_a=viewdownload&downloaditemid= 92 और एनवी = 0,30,1,5 nginx के लिए संस्थापन: http://wiki.nginx.org/HttpSslModule (मूल रूप से, केवल मौजूदा प्रमाणपत्र फ़ाइल में जो डाउनलोड करते हैं उसे जोड़ दें) – Sych

11

हम इस समस्या थी अपने config में आप भेजने शामिल है और यह बहुत ज्यादा फ़ायरफ़ॉक्स विशिष्ट था - केवल उस ब्राउजर में सफ्रो, सफारी, आईई 8, क्रोम इत्यादि ठीक हो सकता था।

इसे ठीक करने के लिए को कॉमोडो से अद्यतन प्रमाण प्राप्त करना और इसे इंस्टॉल करना आवश्यक है।

कोई विचार नहीं कि वे किस जादू को बदलते हैं, लेकिन यह निश्चित रूप से प्रमाण पत्र में कुछ था कि फ़ायरफ़ॉक्स पसंद नहीं आया था।

स्रोत

2009-10-28 18:05:20

2

मुझे फ़ायरफ़ॉक्स और मेरे सर्वर के साथ यह समस्या थी। मैं GoDaddy ग्राहक सहायता से संपर्क किया, और उन्होंने मुझे मध्यवर्ती सर्वर प्रमाणपत्र स्थापित किया था:

http://support.godaddy.com/help/article/868/what-is-an-intermediate-certificate

वर्ल्ड वाइड वेब प्रकाशन सेवा की एक फिर से शुरू करने के बाद, सब कुछ पूरी तरह से काम किया।

यदि आपके पास अपने सर्वर तक पूर्ण पहुंच नहीं है, तो आपके आईएसपी को यह आपके लिए करना होगा।

स्रोत

2009-12-03 20:38:27 toddb

+0

के साथ एक ही बात मेरे साथ आई आईआईएस 6 सर्वर पर स्थापित गोडाडी एसएसएल प्रमाणपत्र के साथ मुझे एक ही समस्या थी। यह प्रक्रिया मेरे लिए काम करती है। – Costo

6

फ़ायरफ़ॉक्स अन्य ब्राउज़रों की तुलना में अधिक कड़े है और एक मध्यवर्ती सर्वर प्रमाणपत्र की उचित स्थापना की आवश्यकता होगी। यह प्रमाणपत्र प्राधिकरण द्वारा प्रमाणित किया गया प्रमाण पत्र द्वारा आपूर्ति की जा सकती है। इंटरमीडिएट प्रमाण आमतौर पर सर्वर प्रमाण के समान स्थान पर स्थापित होता है और httpd.conf फ़ाइल में उचित प्रविष्टि की आवश्यकता होती है।

जबकि कई फ़ायरफ़ॉक्स को इसके (आमतौर पर) अनन्य 'फ़्लैगिंग' के लिए दंडित कर रहे हैं, यह वास्तव में उच्च स्तर के सुरक्षा मानकों का प्रदर्शन कर रहा है।

स्रोत

2009-12-12 05:41:02

+0

-1 यह बिल्कुल मामला नहीं है। कृपया मोज़िला का अपना विवरण पढ़ें: https://wiki.mozilla.org/Incomplete_Certificate_Chain। गायब प्रमाणपत्र कभी-कभी काम करता है (जैसा ओपी द्वारा अनुभव किया जाता है) क्योंकि वे जंगली में पाए जाने वाले मध्यवर्ती सीए को कैश करते हैं। तो मेरी साइट क्रोम में लापता इंटरमीडिएट सर्टिफिकेट के साथ काम करेगी यदि उपयोगकर्ता पहले से ही एक और साइट का दौरा कर चुका है जो उसी प्रमाणपत्र को प्रस्तुत करता है। –

+0

पिछली टिप्पणी mozilla.org लिंक अब 404 है; इसके बजाय, प्रासंगिक देखें: https://wiki.mozilla.org/Necko/Differences: _ "अन्य ब्राउज़रों में अधिक मजबूत प्रमाणपत्र श्रृंखला प्रसंस्करण है; कुछ सामान्य स्थितियों में उलझन में आते हैं।" _ – michael

1

@ user126810 के रूप में, समस्या को कॉन्फ़िगरेशन फ़ाइल में उचित SSLCertificateChainFile निर्देश के साथ ठीक किया जा सकता है।

लेकिन कॉन्फ़िगरेशन को ठीक करने और वेबसर्वर को पुनरारंभ करने के बाद, मुझे फ़ायरफ़ॉक्स को पुनरारंभ करना पड़ा। इसके बिना, फ़ायरफ़ॉक्स ने खराब प्रमाण पत्र के बारे में शिकायत जारी रखी (ऐसा लगता है कि यह एक कैश किया गया था)।

स्रोत

2013-02-06 03:38:55 vadipp

4

nginx इस 

$ cat www.example.com.crt bundle.crt > www.example.com.chained.crt

परिणामी फ़ाइल का उपयोग कर एक श्रृंखलित CRT फ़ाइल जनरेट करते ssl_certificate निर्देश में इस्तेमाल किया जाना चाहिए:

server { 
    listen    443 ssl; 
    server_name   www.example.com; 
    ssl_certificate  www.example.com.chained.crt; 
    ssl_certificate_key www.example.com.key; 
    ... 
}

स्रोत

2013-11-28 13:11:02 Cc65

1

आप के लिए अपनी जरूरत COMODO से अपने प्रमाणपत्र मिला है इस लाइन को जोड़ें, फ़ाइल आपके द्वारा प्राप्त ज़िप फ़ाइल पर है।

SSLCertificateChainFile /path/COMODORSADomainValidationSecureServerCA.crt

स्रोत

2014-05-15 05:32:47

2

मुझे पता है कि यह धागा थोड़ा पुराना है लेकिन हम इसमें भी भाग गए और दूसरों के लिए यहां हमारे अंतिम समाधान को संग्रहित करेंगे।

हमें कॉमोडो वाइल्डकार्ड "पॉजिटिव एसएसएल" प्रमाण के साथ एक ही समस्या थी। हम स्क्विड-रिवर्स एसएसएल प्रॉक्सी का उपयोग करके हमारी वेबसाइट चला रहे हैं और फ़ायरफ़ॉक्स आपके द्वारा बताए गए "sec_error_unknown_issuer" की शिकायत जारी रखेगा, फिर भी हर दूसरे ब्राउज़र ठीक था।

मुझे पता चला कि यह प्रमाण पत्र श्रृंखला अपूर्ण है। फ़ायरफ़ॉक्स में स्पष्ट रूप से मध्यस्थ प्रमाणपत्रों में से एक नहीं है, हालांकि फ़ायरफ़ॉक्स रूट सीए पर भरोसा करता है। इसलिए आपको फ़ायरफ़ॉक्स में प्रमाण पत्र की पूरी श्रृंखला प्रदान करनी होगी। Comodo के समर्थन कहता है:

एक मध्यवर्ती प्रमाणपत्र प्रमाण पत्र, या प्रमाण पत्र, है कि आपकी साइट (सर्वर) प्रमाण पत्र और मूल प्रमाणपत्र के बीच जाना है। इंटरमीडिएट सर्टिफिकेट, या प्रमाण पत्र, ब्राउज़र द्वारा विश्वसनीय रूट प्रमाण पत्र में श्रृंखला को पूरा करता है।

मध्यवर्ती प्रमाणपत्र उपयोग करने का अर्थ है कि आप स्थापना की प्रक्रिया में एक अतिरिक्त कदम अपनी साइट प्रमाण पत्र सक्षम करने के लिए विश्वसनीय रूट को श्रृंखलित जा करने के लिए पूरा करना होगा, और ब्राउज़र जब कोई आपके वेब साइट का दौरा में कोई त्रुटि नहीं दिखा।

यह पहले से ही इस धागे में पहले ही छुआ था लेकिन यह फिर से नहीं हुआ कि आप यह कैसे करते हैं।

सबसे पहले आप एक श्रृंखलित प्रमाण पत्र के बंडल बनाने के लिए है और आपको लगता है कि सही में अपने पसंदीदा पाठ संपादक का उपयोग करने और सिर्फ उन्हें में पेस्ट, द्वारा (विपरीत) कर आदेश यानी

  • इंटरमीडिएट CA प्रमाणपत्र 2 - IntermediateCA2। CRT - फ़ाइल के शीर्ष पर
  • इंटरमीडिएट CA प्रमाणपत्र 1 - IntermediateCA1.crt
  • रूट CA प्रमाणपत्र - root.crt - फ़ाइल के अंत में

यदि आप नामों से स्पष्ट नहीं हैं तो आप अपने एसएसएल प्रदाता से सटीक ऑर्डर प्राप्त कर सकते हैं।

फिर फ़ाइल को जो भी नाम पसंद है उसे सहेजें। जैसे yourdomain-chain-bundle.crt

इस उदाहरण में मैंने वास्तविक डोमेन प्रमाणपत्र शामिल नहीं किया है और जब तक आपका सर्वर अलग-अलग जंजीर प्रमाणपत्र बंडल लेने के लिए कॉन्फ़िगर किया जा सकता है, तो आप इसका उपयोग करते हैं।

अधिक डेटा यहां पाया जा सकता:

https://support.comodo.com/index.php?/Knowledgebase/Article/View/643/0/how-do-i-make-my-own-bundle-file-from-crt-files

किसी कारण से आप पर एक अलग श्रृंखलित बंडल का उपयोग करने के लिए है, तो आप सिर्फ शुरुआत में अपना सर्वर प्रमाणपत्र पेस्ट (फिर अपने सर्वर को नहीं कर सकते शीर्ष) बंडल का और परिणामी फ़ाइल का उपयोग अपने सर्वर प्रमाण के रूप में करें। E.g Squid मामले में यह करने की आवश्यकता है। इस विषय पर स्क्विड मेलिंग सूची से नीचे देखें।

http://www.squid-cache.org/mail-archive/squid-users/201109/0037.html

यह हमारे लिए यह संकल्प लिया।

स्रोत

2014-06-14 08:51:16 leancode

1

जून 2014:

यह विन्यास मैं प्रयोग किया जाता है और यह कुछ दिनों के लिए दीवार पर मेरे सिर पीटने के बाद ठीक काम कर रहा। मैं एक्सप्रेस 3.4 का उपयोग करें (मुझे लगता है कि एक्सप्रेस 4.0 के लिए एक ही है)

var privateKey = fs.readFileSync('helpers/sslcert/key.pem', 'utf8'); 
var certificate = fs.readFileSync('helpers/sslcert/csr.pem', 'utf8'); 

files = ["COMODORSADomainValidationSecureServerCA.crt", 
     "COMODORSAAddTrustCA.crt", 
     "AddTrustExternalCARoot.crt" 
     ]; 

ca = (function() { 
    var _i, _len, _results; 

    _results = []; 
    for (_i = 0, _len = files.length; _i < _len; _i++) { 
    file = files[_i]; 
    _results.push(fs.readFileSync("helpers/sslcert/" + file)); 
    } 
    return _results; 
})(); 

var credentials = {ca:ca, key: privateKey, cert: certificate}; 

// process.env.PORT : Heroku Config environment 
var port = process.env.PORT || 4000; 

var app = express(); 
var server = http.createServer(app).listen(port, function() { 
     console.log('Express HTTP server listening on port ' + server.address().port); 
}); 
https.createServer(credentials, app).listen(3000, function() { 
     console.log('Express HTTPS server listening on port ' + server.address().port); 
}); 

// redirect all http requests to https 
app.use(function(req, res, next) { 
    if(!req.secure) { 
    return res.redirect(['https://mydomain.com', req.url].join('')); 
    } 
    next(); 
});

तब मैं 80 और 443 बंदरगाहों पुनः निर्देशित:

sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 4000 
sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3000

तुम मेरे प्रमाणपत्र की जाँच के बाद देख सकते हैं मैं 4 [0 , 1,2,3]:

openssl s_client -connect mydomain.com:443 -Showcerts | ग्रेप "^"

[email protected]:~$ openssl s_client -connect mydomain.com:443 -showcerts | grep "^ " 
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root 
verify error:num=19:self signed certificate in certificate chain 
verify return:0 
0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=mydomain.com 
    i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA 
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA 
    i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority 
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority 
    i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root 
3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root 
    i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root 
    Protocol : TLSv1.1 
    Cipher : AES256-SHA 
    Session-ID: 8FDEAEE92ED20742.....3E7D80F93226142DD 
    Session-ID-ctx: 
    Master-Key: C9E4AB966E41A85EEB7....4D73C67088E1503C52A9353C8584E94 
    Key-Arg : None 
    PSK identity: None 
    PSK identity hint: None 
    SRP username: None 
    TLS session ticket lifetime hint: 300 (seconds) 
    TLS session ticket: 
    0000 - 7c c8 36 80 95 4d 4c 47-d8 e3 ca 2e 70 a5 8f ac |.6..MLG....p... 
    0010 - 90 bd 4a 26 ef f7 d6 bc-4a b3 dd 8f f6 13 53 e9 ..J&..........S. 
    0020 - f7 49 c6 48 44 26 8d ab-a8 72 29 c8 15 73 f5 79 .I.HD&.......s.y 
    0030 - ca 79 6a ed f6 b1 7f 8a-d2 68 0a 52 03 c5 84 32 .yj........R...2 
    0040 - be c5 c8 12 d8 f4 36 fa-28 4f 0e 00 eb d1 04 ce ........(....... 
    0050 - a7 2b d2 73 df a1 8b 83-23 a6 f7 ef 6e 9e c4 4c .+.s...........L 
    0060 - 50 22 60 e8 93 cc d8 ee-42 22 56 a7 10 7b db 1e P"`.....B.V..{.. 
    0070 - 0a ad 4a 91 a4 68 7a b0-9e 34 01 ec b8 7b b2 2f ..J......4...{./ 
    0080 - e8 33 f5 a9 48 11 36 f8-69 a6 7a a6 22 52 b1 da .3..H...i....R.. 
    0090 - 51 18 ed c4 d9 3d c4 cc-5b d7 ff 92 4e 91 02 9e .....=......N... 
    Start Time: 140...549 
    Timeout : 300 (sec) 
    Verify return code: 19 (self signed certificate in certificate chain)

गुड लक! पीडी: यू चाहते हैं, तो अधिक जवाब जांचें: http://www.benjiegillam.com/2012/06/node-dot-js-ssl-certificate-chain/

स्रोत

2014-06-15 16:31:06 lito

0

किसी और एक Ubuntu दीप और "COMODO सकारात्मक एसएसएल" के साथ इस समस्या का सामना कर रहा है, तो संपीड़ित फ़ाइल में प्रमाणपत्र से अपना खुद का बंडल बनाने की कोशिश।

cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt > YOURDOMAIN.ca-bundle

स्रोत

2015-01-31 22:09:13 chmoder

0

मैं फ़ायरफ़ॉक्स 43 के साथ हलकों में दौर जा रहा जा रहा करने के बाद, एल कैप्टन और WHM/cPanel एसएसएल स्थापना लगातार अविश्वसनीय साइट त्रुटि हो रही है - मैं प्रमाण पत्र यह करने के लिए मेरे लिए सौंप दिया गया था नहीं खरीदा था आखिरी लड़का दरवाजा बाहर चला गया के रूप में स्थापित करें। बाहर निकलता है कि मैं गलत डोमेन के तहत स्थापित कर रहा था क्योंकि मैंने www को याद किया - लेकिन डोमेन के खिलाफ प्रमाण पत्र अभी भी स्थापित हुआ, जब मैंने www.domain.com.au का उपयोग करके डब्ल्यूएचएम में प्रमाणपत्र स्थापित किया, तो अब यह चिंताएं स्थापित हुईं और एफएफ त्रुटि चली गई - प्रमाणपत्र www और गैर-www दोनों के लिए ठीक काम करता है।

स्रोत

2016-01-13 04:58:17 Rob

संबंधित मुद्दे

 संबंधित मुद्दे