我一直在爲SSL問題掙扎超過1個月。客戶端SSL與自簽名CA不起作用
我們使用openssl來生成我們自己的CA,服務器和客戶端證書。我們也有 使「SSLrequire」 Apache Web服務器上(在htaccess的,這可能是錯誤的),這意味着任何人都試圖通過HTTPS的 服務器上連接需要出示有效證書
步驟如下所示;
- 產生CA密鑰
- 生成CA CSR
- 標誌CA CSR與CA密鑰
,所以我們有我們自己的CA,用來簽署我們的服務器和客戶端證書。
下一步
- 生成服務器密鑰
- 生成服務器CSR 與CA密鑰
- 跡象服務器CSR
所以我們已經把我們的服務器證書&服務器私鑰,我們成功地安裝在服務器上
接下來我們
- 生成客戶端密鑰
- 生成客戶端CSR
- 簽名的客戶端與CSR CA密鑰
然後,我們的客戶端證書連同CA證書分發到我們的用戶。 兩者都安裝在他們的瀏覽器中。
當試圖連接時,我們得到了「對方不承認和信任頒發您的證書的CA. 」錯誤。
我們發現問題是服務器上未安裝自簽名CA證書。通常,服務器 將向嘗試連接到該設備的設備呈現可信CA的列表,並且該設備將不得不發送由該服務器已經呈現的任何CA簽名的證書 。但由於我們的自簽名CA證書 未安裝在服務器上,因此瀏覽器可能會提供 服務器可以接受的證書。
因此,我們繼續在服務器 - 控制面板Hsphere上安裝CA證書。
我們採取了CA證書的內容和在「證書頒發機構文件」文本區域複製它在服務器 和服務器不會接受它每次抱怨「無法更新SSL配置不同的密鑰和證書」
CA證書已由自己簽名,因此服務器如何說證書和密鑰不同。
我們也嘗試將CA證書文件和CA密鑰文件的內容複製到「證書頒發機構文件」textarea中,但這也行不通。
正如我所說,我們一直在掙扎超過一個月。如果任何人都可以提供幫助,那會非常感激。 如果我們需要支付服務費用,請告訴我們。
在此先感謝。
您可能想嘗試serverfault.com,更有可能找到使用hsphere的管理員。 – sarnold 2010-08-13 11:38:21