@Kyle Jones - Moje pytanie brzmi, dlaczego nie mogę używać certyfikatu SSL z serwerem QA na moim komputerze lokalnym?
@autonomatt - Sub-pytanie: VeriSign i inne firmy zapytać, jak wiele serwerów instalowania cert SSL na ... coraz dziwne klientowi wywoływanie mówiąc przeglądarkę zgłasza problem w/certyfikatu . ..
Zgodnie z prawem? Możesz zainstalować certyfikat SSL na więcej niż jednym komputerze, ale może nie być tego w stanie legalnie. Firma CA podpisująca, podobnie jak Network Solutions, ma prawne ograniczenia dotyczące zakupu. Kupując certyfikat SSL, kupujesz go do zainstalowania tylko na jednym komputerze. Powinieneś przeczytać warunki podpisującego CA, z którego kupujesz certyfikat.
Technicznie? Technicznie, z wyjątkiem niektórych sprzętowych serwerów z akceleracją SSL, można skopiować klucz KEY i CRT do dowolnego serwera WWW w celu obsługi ważnego połączenia SSL. Należy zauważyć, że niektóre certyfikaty SSL są dostarczane/dostarczane z urzędu certyfikacji za pomocą łańcucha certyfikatów, który musi być również zainstalowany po stronie serwerów.Bez zainstalowanego łańcucha certyfikatów przeglądarka klienta nie może poprawnie sprawdzić poprawności certyfikatu SSL. Powinieneś sprawdzić, czy łańcuch CA jest dostarczony z certyfikatem SSL dostarczonym przez CA podpisującego.
Wymagania dotyczące rozdzielczości IP. Certyfikat SSL jest powiązany z nazwą hosta. Gdy przeglądarka klienta wysyła żądanie do serwera, łączy się z adresem IP rozwiązanym z nazwy domeny, a następnie rozpoczyna proces uzgadniania SSL/TLS. Serwer WWW odpowiadający na ten adres IP musi przedstawić certyfikat SSL o wspólnej nazwie, której przeglądarka klienta żąda za pośrednictwem adresu IP. Oznacza to, że można skonfigurować tylko jeden certyfikat SSL na jeden adres IP. Klient wysyła tylko zaszyfrowane żądania HTTP 1.1, więc serwer nie ma pojęcia, jakie jest rzeczywiste żądanie domeny klienta aż do uzgadniania SSL/TLS.
Nieprodukcyjna rozdzielczość IP. Aby zainstalować w innym miejscu, przeglądarka internetowa musi poprawnie rozpoznać nazwę hosta na adres IP. Jeśli więc znajdujesz się w środowisku nieprodukcyjnym, klient musi rozwiązać adres IP inaczej niż środowisko produkcyjne. Można tego dokonać na alternatywnych serwerach DNS lub w lokalnym pliku hosts wszystkich komputerów potrzebna jest alternatywna translacja DNS.
Proces instalacji technicznej. Aby zainstalować certyfikat SSL na innym komputerze, skopiuj łańcuch KEY, SSL CRT i łańcuch CA w odpowiednich plikach skonfigurowanych dla serwera WWW. Jeśli Apache, może wszystko iść w jednym pliku PEM dla certyfikatu SSL.
Następnie upewnij się, że serwer obsługuje ten plik PEM na adres IP, który rozpoznaje nazwę pospolitą w certyfikacie SSL.
Wildcard SSL Certs. Niektóre ośrodki CA również zapewniają certyfikaty SSL Willdcard, takie jak * .domain.com. Pamiętaj, że przeglądarka internetowa musi rozpoznać ten typ certyfikatu i chroni tylko jeden poziom subdomeny. Więc www.domain.com może być chroniony, ale www.sub1.domena.com spowoduje, że przeglądarka internetowa klienta da użytkownikowi błąd sprawdzania poprawności.
Kilka powodów dlaczego klient przeglądarek internetowych otrzymują SSL cert błędy Walidacja:
- jeśli potrzebna jest CA Chain ale nie podana przez serwer WWW.
- jeśli urząd certyfikacji podpisu głównego nie jest zaufanym ośrodkiem CA w przeglądarce klienta przeglądarki Uprawnienia SSL - jest tak zawsze w przypadku certyfikatów SSL z własnym podpisem.
- , jeśli przeglądarka klienta żąda domeny za pośrednictwem protokołu SSL, która nie jest zgodna z nazwą wspólną certyfikatu SSL.
- , jeśli przeglądarka klienta nie może uzyskać dostępu do Punktów dystrybucji CRL x509 z podpisującego urzędu certyfikacji - więc klient w sieci z ograniczeniami lub zamkniętej sieci nie potwierdzi certyfikatu SSL. Adres URL listy CRL jest podawany podczas uzgadniania SSL/TLS. Zobacz także: http://en.wikipedia.org/wiki/Revocation_list#Problems_with_CRLs.
sprawia, że sens. Tak więc certyfikat SSL jest specyficzny dla tego komputera. Wyobrażałem sobie, że to było naprawdę długie hasło. Dzięki. –
@kyle: Nie jest tak, że certyfikat jest powiązany z * maszyną * jest przypisany do * nazwy hosta *. Wiele maszyn, które odpowiadają na tę samą nazwę (np. W konfiguracji równoważenia obciążenia), może (i powinno) używać tego samego certyfikatu. – nsayer
Co z certyfikatami wieloznacznymi? – franzlorenzon