1. дома
  2. Вопрос и ответ
  3. Различные проблемы с частными SSL-сертификатами и CA

Различные проблемы с частными SSL-сертификатами и CA

2016-12-28 2 views
0

Этот вопрос довольно открытый, потому что, честно говоря, я не эксперт в сертификате SSL, и он выполняет код на нескольких языках. Возможно, это даже не проблема «кода», а проблема инфраструктуры, но на данный момент мне нужно, чтобы кто-то указал мне в правильном направлении. Недавно я получил сертификаты моего ИТ-отдела для внутренних служб в частной сети. Я использую Nginx для прослушивания 443 и перенаправления с 80 на 443. В Chrome все работает отлично, но при переключении на Firefox проблемы начинают появляться. Firefox рассматривает сайт как самозаверяющий сертификат, где вам нужно дать ему явную инструкцию для игнорирования. Вопрос не заканчивается, однако, мои Chef поваренные книги теперь неудачу на любое место, где один из моих внутренних услуг, доступ к API (, копирования файлов и т.д.) со следующими видами ошибок:Различные проблемы с частными SSL-сертификатами и CA

================================================================================ 
     Error executing action `create` on resource 'remote_file[Download Installer]' 
     ================================================================================ 

     OpenSSL::SSL::SSLError 
     ---------------------- 
     SSL Error connecting to http://service.domain.com/download/client - SSL Error connecting to https://service.domain.com/download/client - SSL_connect returned=1 errno=0 state=error: certificate verify failed

Я m видя такую ​​же ошибку с библиотеками Ruby и NodeJS. Мне удалось поработать с ним по большей части, установив библиотеки на игнорирование недоверенных, но это временное исправление. Мне нужно понять, почему это происходит. Является ли мой центр сертификации не настроен правильно и мне нужно попросить IT-парней изменить какую-то конфигурацию? Нужно ли копировать сертификат на каждую машину, которая должна получить доступ к этим службам HTTPS? Почему Chrome работает нормально? Я искал на своей локальной машине сертификат, который у меня может быть локально, что заставляет меня получать ложные срабатывания при тестировании Chrome, но у меня нет ничего локального, что должно иметь какой-либо эффект. Возможно, Chrome разрешает CA по сети? (Вот как я решил, что это сработало). Любая помощь очень ценится, спасибо.

источник

2016-12-28 user7351649

+0

IT-ребятам необходимо убедиться, что их сертификат подписи доверяет всем вашим клиентам. Это не ваша проблема, а их. – EJP

+0

Большое спасибо! Я буду проводить исследования, основанные на этом ответе, и спросить ИТ-ребята. – user7351649

ответ

0

Нужно ли копировать сертификат на каждую машину, которая должна получить доступ к этим службам HTTPS? Почему Chrome работает нормально?

Каждый клиент, который должен использовать это подключение к хостам с использованием внутреннего ЦС, должен доверять этому ЦС. Я предполагаю, что администраторы убедились, что CA включен в хранилище доверия Windows на всех машинах, поскольку это можно легко сделать с помощью политики. Но ни Firefox, ни Ruby, ни NodeJS, ни Java (а также другие инструменты) не используют хранилище доверия Windows, но у них есть свои собственные. Таким образом, локальный CA также должен быть включен во все эти хранилища доверия.

источник

2016-12-29 06:03:04

Смежные вопросы

 Смежные вопросы