SSL: Problèmes de chaîne! >> GoDaddy + Apache 2.4.23 dans WINDOWS 2012 R2

Bonne journée à tous

Je suis complètement coincé. Je ne sais pas comment suivre et ce que je ne fais plus. J'espère que tu pourrais m'aider avec ça, parce que j'ai lu beaucoup pour résoudre ce problème, mais sans succès ...

JE:

Serveur Windows 2012 R2

Il est installé dessus Apache 2.4.23 de MOD_JK Pour envoyer toutes les demandes au serveur Tomcat Sur un autre ordinateur.

J'ai acheté un certificat étendu sur GoDaddy, Donc je peux voir l'icône "verte" dans la chaîne URL.

Maintenant j'ai téléchargé le certificat avec GoDaddy, Et à l'intérieur des archives ZIP Il y a un certificat et un package correspondant G2 + G1 + ROOT. alors 2 Fichier à l'intérieur.

Les placés dans le dossier et correctement indiqué à l'intérieur 443 VHOST, Comment voyez-vous ensuite, mais chaque test SSL, que je joue sur Internet (SSLLabs, DigiCert ...),

échoue juste dans le processus de chaîne

.

Site Internet:

cliente.merchbanc.es

https://www.ssllabs.com/ssltes ... %3Don
https://www.sslshopper.com/ssl ... nc.es
Je ne sais pas ce que je fais mal ... Je suis parti HTTPD.CONF préparé comme il est (Bien sûr, avec les modules droits et nécessaires sans commentaire), Mais sans rien de liaison à VHOSTS et SSL. Puis, dans le fichier de configuration supplémentaire VHOST, J'ai ajouté tous les éléments VHOST + SSL (Par conséquent, je n'utilise pas le fichier de configuration SSL. Il a commenté. Tout est dans le fichier de configuration VHOSTS).

Cela ressemble à ceci:

##################################################################################################################
# VHOSTS HTTP

# redirect all HTTP to HTTPS (optional)
<virtualhost *:80="">

ServerAlias *
RewriteEngine On
RewriteRule ^(.*)$ [url=https://%]https://%[/url]{HTTP_HOST}$1 [redirect=301]

</virtualhost>

##################################################################################################################
# VHOSTS HTTPS

Listen 443

# modern configuration, tweak to your needs
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLProxyProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLProxyCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off

SSLPassPhraseDialog builtin

SSLSessionCache "shmcb:c:/lala/lele/ssl_scache(512000)"
SSLSessionCacheTimeout 300

# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache "shmcb:c:/lala/lele/ocsp(128000)"

<virtualhost *:443="">

SSLEngine on
SSLCertificateFile "blah/blahblah/cliente.merchbanc.es/123412341234.crt"
SSLCertificateKeyFile "blah/blahblah/cliente.merchbanc.es/123412341324.key"
#SSLCertificateChainFile "blah/blahblah/cliente.merchbanc.es/gd_bundle-g2-g1.crt"
SSLCACertificatePath "blah/blahblah/cliente.merchbanc.es/GoDaddy_G2"

# Uncomment the following directive when using client certificate authentication
#SSLCACertificateFile /path/to/ca_certs_for_client_authentication

# HSTS (mod_headers is required) (15768000 seconds = 6 months)
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"

...
... follows with the ProxyPassing part, but not the case now.
...

</virtualhost>

Suivre les instructions d'installation GoDaddy, j'ai changé

SSLCertificateChainFile

Directive K.

SSLCACertificatePath

Directive depuis que j'utilise Apache Dans la version 2.4.23. Mais cela ne décide rien.

Après cela, j'ai décidé de télécharger

TOUT

Certificats G2 D'ici:
https://certs.godaddy.com/repository
et placez-les tous dans le dossier spécifié dans le chemin SSLCACertificatePath: «blah / blahblah / cliente.merchbanc.es / GoDaddy_G2». Mais aussi ne fonctionne pas.

Et enfin, comme je suis dans Windows, J'ai décidé d'aller au certificat, après le certificat, double-cliquez sur em et installer sur le serveur maintenant ils sont à l'intérieur

"Propriétés d'observateur> Contenu> Certificats"

, Tous sont présentés sur divers onglets existants. Et, en règle générale, ne change pas du tout.

Chaque fois, bien sûr, redémarrer Apache et même après avoir installé des certificats dans Windows, Redémarrage et serveur lui-même.

Et quoi maintenant? J'espère que vous allez m'aider s'il vous plaît.

Merci et bons voeux.

Marque.
Invité:

Catherine

Confirmation de:

Vous devez ratisser la chaîne pour le fichier de chaîne de certificats.

#SSLCertificateChainFile "blah/blahblah/cliente.merchbanc.es/gd_bundle-g2-g1.crt"

Ça devrait être:

SSLCertificateChainFile "blah/blahblah/cliente.merchbanc.es/gd_bundle-g2-g1.crt"

Catherine

Confirmation de:

Merci à tous pour votre aide. Toutes les informations que vous avez données sont absolument précieuses et m'ont permis de configurer mon fichier. CONF correctement. À la perfection.

Cela dit, j'ai trouvé mon problème spécifique et sa décision.

Mon Apache Situé pour WAF (Firewall d'applications Web). Il a éclaté autour de la chaîne. Ainsi, les centres de certification intermédiaires ne sont pas signifiés par le certificat principal. Ensuite, il a été décidé: tout est en place!

Quel maux de tête, garçon ...

En ce qui concerne tout le monde!

Emilie

Confirmation de:

Ou des instructions (que vous n'avez pas spécifié) Déformé, ou vous avez eu tort de lire.

Changement de version 2.4.8 C'est que vous pouvez et devez placer vos certificats de chaîne dans
http://httpd.apache.org/docs/2 ... efile
au lieu de

SSLCertificateChainFile

.

Tout

Les versions utiliseront des certificats dans

SSLCACertificate{File,Path}

Pour compléter votre chaîne si non spécifié dans

SSLCertificate{Chain,}File

, mais

SSLCA*

Les certificats seront également appliqués à l'authentification du client s'il est inclus, ce qui peut être même indésirable.

Mais utiliser
http://httpd.apache.org/docs/2 ... epath
(ne pas

...File

) Chaque certificat doit être dans un fichier séparé et chaque fichier

doit être appelé

(ou associé, qui est considéré comme le nom)

Utilisation de hachage

son sujet; dans Unix d'habitude (Mais pas nécessaire) Utilisez des liens symboliques.

Dans les systèmes Unix Avec installé OpenSSL Conformément à l'accord de flux ascendant (Ne faites pas tout) Il y a un script

c_rehash

quelque part (Bien que, peut-être, pas dans votre habituel PATH), où il est fait; Dans ce cas, il doit y avoir une page de fond pour cela (Parfois dans une section spéciale, par exemple, 1ssl)
https://www.openssl.org/docs/m ... .html
. OpenSSL 1.1.0 (seul) a une caractéristique équivalente

rehash

Dans le fichier de ligne de commande exécutable

openssl

Dans certains systèmes. Puisque vous ne les avez probablement pas, vous pouvez courir manuellement

openssl x509 -hash

(ou équivalent mais plus précis

-subject_hash

) Dans chaque fichier de certificat et utilisez ces plus

.0

Renommer ou copier le fichier (s). Mais

SSLCACertificateFile

(ne pas

...Path

) ou

SSLCertificate{Chain,}File

Plus simple.

(Ajoutée) En particulier pour une utilisation

SSLCACertificateFile

Vous combinez simplement tous les certificats nécessaires CA Et peut-être, inutile, dans un seul dossier. Depuis le format de données PEM sur le design tout est imprimé / Affiche, vous pouvez le faire, couper et insérer dans un éditeur de texte, tel qu'un ordinateur portable, en plus de certains outils, tels que

cat

dans Unix ou

copy a+b+c

dans Windows ou

>>outfile

Ajouter à tout.

PS: Apache n'utilise pas le stockage de certificat Windows, Par conséquent, l'installation dans le magasin de certificats Windows Absolument n'affecte pas ça.

PPS: Si vous n'avez pas de ligne de commande OpenSSL dans Windows, Il y a un bon forfait fini à
http://www.slproweb.com/products/Win32OpenSSL.html

Pour répondre aux questions, connectez-vous ou registre