Installation des COMODO-SSL-Zertifikats – Ich habe den LEMP-Stack für einen meiner Kunden auf seinem CentOS 7-Computer installiert und das von COMODO erhaltene SSL-Zertifikat für seine Domain konfiguriert. Es funktionierte gut auf Desktops und mobilen Geräten. Aber mein Kunde kam mit einem Problem zurück und sagte, dass er einen SSL-Warnfehler auf einem seiner Android-Handys sieht. Folgendes hat mein Kunde gesagt:
When the domain being accessed on some android devices, the SSL certificate wasn't trusted ! It was throwing a non safe warning site for the domain!
Ja, mein Kunde hatte Recht – das Zertifikat funktionierte auf den meisten Geräten einwandfrei, aber nur wenige gaben eine Warnmeldung aus. Wie kann man das also beheben?
Lösung:
Der wahrscheinlichste Grund für den Fehler ist, dass die Zertifizierungsstelle, die Ihr SSL-Zertifikat ausgestellt hat, auf wenigen Geräten vertrauenswürdig ist, aber nicht auf allen. Aber wie, wenn einer CA vertraut wird, wäre sie nicht in jedem Gerät verfügbar? Nicht unbedingt! Wenn das Zertifikat von einer COMODO-Zertifizierungsstelle ausgestellt wurde, prüfen Sie, ob die Stelle in dieser Liste als vertrauenswürdige Zertifizierungsstelle für Android aufgeführt ist. Wenn dies nicht der Fall ist, müssen Sie eine vertrauenswürdige SSH-Kette einrichten.
Um das Problem zu beheben, führen Sie die folgenden Schritte aus.
Schritt 1 :Sie hätten eine ZIP-Datei von der COMODO CA-Behörde erhalten. Entpacken Sie, um die 3 unten aufgeführten Dateien zu finden:
<domain_name>.p7b <domain_name>.ca-bundle <domain_name>.crt
Schritt 2 :Verketten Sie das CA-Bundle und die Zertifikatsdatei (CRT-Datei), die im obigen Schritt extrahiert wurde
#cat <domain_name>.crt <domain_name>.ca-bundle >><domain_name>-complete-bundle.crt
Schritt 3 :Speichern Sie das Paket wie folgt im entsprechenden SSL-Ordner:
#cp <domain_name>-complete-bundle.crt /etc/pki/tls/certs/<domain_name>-complete-bundle.crt
Schritt 4 :Speichern Sie Ihren privaten Schlüssel wie folgt im entsprechenden SSL-Ordner:
#cp <domain_name>.key /etc/pki/tls/private/<domain_name>.key
Schritt 5 :Stellen Sie sicher, dass Sie die folgende nginx-Konfiguration hinzufügen, die auf die richtige Zertifikatsdatei und den richtigen privaten Schlüssel verweist, wie in früheren Schritten gespeichert
server {
listen 443 ssl;
server_name <domain_name>;
ssl_certificate /etc/pki/tls/certs/<domain_name>-complete-bundle.crt;
ssl_certificate_key /etc/pki/tls/private/<domain_name>.key;
ssl_prefer_server_ciphers on;
} Schritt 6 :Nachdem Sie die obigen Änderungen an Ihrer nginx-Konfigurationsdatei vorgenommen haben, überprüfen Sie die Syntaxfehler, bevor Sie versuchen, den Dienst wie folgt neu zu starten:
#nginx -t
Schritt 7 :Starten Sie den nginx-Dienst neu
#systemctrl restart nginx
Jetzt sollte es in jedem Browser und jeder Domain richtig funktionieren.
Hinweis :Sie können Probleme mit Ihrem SSL-Zertifikat auch bei SSL-LABS analysieren.