Instalace certifikátu COODO SSL – Nainstaloval jsem LEMP stack pro jednoho svého klienta na jeho stroj CentOS 7 a nakonfiguroval SSL certifikát získaný od COMODO pro jeho doménu. Na stolních počítačích a mobilních zařízeních to fungovalo dobře. Můj klient se však vrátil s problémem a řekl, že na jednom ze svých mobilů se systémem Android vidí chybu upozornění SSL. Můj klient řekl toto:
When the domain being accessed on some android devices, the SSL certificate wasn't trusted ! It was throwing a non safe warning site for the domain!
Ano, můj klient měl pravdu – certifikát na většině zařízení fungoval dobře, ale jen málo z nich vyvolalo varovnou zprávu. Jak to tedy opravit?
Řešení:
Nejpravděpodobnějším důvodem chyby je, že certifikační autoritě, která vydala váš certifikát SSL, důvěřuje jen málo zařízení, ale ne všechna. Ale jak, když je certifikační autorita důvěryhodná, bude dostupná v každém zařízení? Ne nutně! Pokud byl certifikát vydán certifikační autoritou COMODO, zkontrolujte, zda je autorita v tomto seznamu uvedena jako Důvěryhodná CA pro Android. Pokud ne, musíte nastavit důvěryhodný řetězec SSH.
Chcete-li problém vyřešit, postupujte podle níže uvedených kroků.
Krok 1 :Získali byste soubor zip od autority COMODO CA. Rozbalte a najděte 3 soubory, jak je uvedeno níže:
<domain_name>.p7b <domain_name>.ca-bundle <domain_name>.crt
Krok 2 :Zřetěďte balíček CA a soubor certifikátu (soubor CRT), který je extrahován ve výše uvedeném kroku
#cat <domain_name>.crt <domain_name>.ca-bundle >><domain_name>-complete-bundle.crt
Krok 3 :Uložte balíček do příslušné složky ssl, jak je uvedeno níže:
#cp <domain_name>-complete-bundle.crt /etc/pki/tls/certs/<domain_name>-complete-bundle.crt
Krok 4 :Uložte svůj soukromý klíč do příslušné složky SSL, jak je uvedeno níže:
#cp <domain_name>.key /etc/pki/tls/private/<domain_name>.key
Krok 5 :Ujistěte se, že jste přidali níže uvedenou konfiguraci nginx ukazující na správný soubor certifikátu a soukromý klíč, jak je uloženo v předchozích krocích
server {
listen 443 ssl;
server_name <domain_name>;
ssl_certificate /etc/pki/tls/certs/<domain_name>-complete-bundle.crt;
ssl_certificate_key /etc/pki/tls/private/<domain_name>.key;
ssl_prefer_server_ciphers on;
} Krok 6 :Po provedení výše uvedených změn v konfiguračním souboru nginx zkontrolujte syntaktické chyby, než se pokusíte restartovat službu, jak je uvedeno níže:
#nginx -t
Krok 7 :Restartujte službu nginx
#systemctrl restart nginx
Nyní by to mělo fungovat správně v každém prohlížeči a doméně.
Poznámka :Případné problémy s certifikátem SSL můžete také analyzovat na SSL-LABS.