【发布时间】:2017-03-02 20:19:01
【问题描述】:
Apache 服务器,遵循此处的指南:https://www.startssl.com/Support?v=21
httpd.conf:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile "/usr/local/apache2/conf/domain.crt"
SSLCertificateKeyFile "/usr/local/apache2/conf/private.key"
SSLCertificateChainFile "/usr/local/apache2/conf/1_root_bundle.crt"
在 Chrome 中运行良好,但 Firefox 产生以下错误:
Error code: SEC_ERROR_UNKNOWN_ISSUER
https://www.sslshopper.com/ssl-checker.html 的分析表明:
并非所有 Web 浏览器都信任该证书。您可能需要安装中间/链证书以将其链接到受信任的根证书。了解有关此错误的更多信息。您可以按照适用于您的服务器平台的 StartCom 证书安装说明来解决此问题。注意中间证书部分。
如何使链有效?
【问题讨论】:
-
那是我链接到的指南。我已经添加了在 httpd.conf 中看到的链文件。
-
您使用的是哪个版本的 apache,因为(来自 documentation:SSLCertificateChainFile 在 2.4.8 版中已过时,当时 SSLCertificateFile 被扩展为也从服务器证书文件加载中间 CA 证书. 因此,可能会忽略此设置,这将适合有关 ssl 检查器中缺少链证书的信息。也请检查服务器的错误日志。
-
@SteffenUllrich 谢谢,我确实使用的是 2.4.23,SSLCertificateChainFile 指令已过时。在 httpd.conf 中删除该行并在服务器上执行 cat 1_root_bundle.crt >> server.crt 就可以了。它现在可以在 Firefox 和 Android 上正常运行。你会考虑让你的评论成为答案吗?
-
另见:StartSSL certificate gives SEC_ERROR_REVOKED_CERTIFICATE in Firefox and ERR_CERT_AUTHORITY_INVALID in Chrome StartSSL 证书不再被主流浏览器信任,因为公司搞砸了。
标签: android apache firefox ssl