Nginx 不提供中间证书

问题描述 投票:0回答:1

我正在尝试在 Nginx 上安装 ssl 证书(实际上是 laravel forge)。我已将证书与中间证书连接起来,并且 Nginx 错误日志中没有收到任何错误。然而,它在移动 Chrome 中不受信任 - 仅在桌面上。

查看Qualys ssl测试,发现该链不完整。但我不明白怎么办。

这是我的 Nginx 配置

server {
listen 80;
server_name **********.com;
return 301 https://**********.com$request_uri;
}

server {
listen 443 ssl;
server_name **********.com;
root /home/forge/**********.com/public;

# FORGE SSL (DO NOT REMOVE!)
ssl on;
ssl_certificate /etc/nginx/ssl/**********.com/1086/server.pem;
ssl_certificate_key /etc/nginx/ssl/**********.com/1086/server.key;

index index.html index.htm index.php;

charset utf-8;

location / {
    try_files $uri $uri/ /index.php?$query_string;
}

location = /favicon.ico { access_log off; log_not_found off; }
location = /robots.txt  { access_log off; log_not_found off; }

access_log off;
error_log  /var/log/nginx/**********.com-error.log error;

error_page 404 /index.php;

location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    fastcgi_pass unix:/var/run/php5-fpm.sock;
    fastcgi_index index.php;
    include fastcgi_params;
}

location ~ /\.ht {
    deny all;
}
}

有人可以帮忙吗?我这几天一直在拔头发。

ssl nginx chain
1个回答
5
投票

查看Qualys ssl测试,发现该链不完整。我不明白怎么办...

看来您发送了错误的中间体:

$ openssl s_client -connect cauterypens.com:443
CONNECTED(00000003)
depth=0 C = GB, OU = Domain Control Validated, CN = cauterypens.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = GB, OU = Domain Control Validated, CN = cauterypens.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 C = GB, OU = Domain Control Validated, CN = cauterypens.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=GB/OU=Domain Control Validated/CN=cauterypens.com
   i:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
 1 s:/O=AlphaSSL/CN=AlphaSSL CA - G2
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
 ...

证书0的主题是

CN=cauterypens.com
。证书 0 的颁发者是 
CN=AlphaSSL CA - SHA256 - G2

中间证书应该是链中的下一个。但是,您发送的不是 

CN=AlphaSSL CA - SHA256 - G2
,而是 
CN=AlphaSSL CA - G2
。请注意名称中缺少 
SHA256

要解决此问题,您应该从 

下载 GlobalSign 根和中间证书
获取 AlphaSSL CA - SHA256 - G2。它有指纹
ae:bf:32:c3:c8:32:c7:d7:bc:55:99:b1:aa:05:fb:6c:f4:d9:29:4c

相关:CA 是 

CN=GlobalSign Root CA
。这就是 
GlobalSign Root R1
下载。下载它并将其保存到文件中(其名称为
Root-R1.crt
)。它已经采用 PEM 编码。然后,您应该能够通过以下方式验证链:

$ openssl s_client -connect cauterypens.com:443 -CAfile Root-R1.crt
...
Verify OK (0)

如果没有验证,那么你还有其他麻烦。在继续之前解决问题。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.