Résolution des problèmes liés aux certificats SSL certificate-problems
Découvrez comment résoudre les problèmes liés aux certificats SSL en identifiant les causes courantes afin que vous puissiez maintenir des connexions sécurisées.
Certificat non valide invalid-certificate
Cette erreur se produit car le client a utilisé une clé privée chiffrée et a fourni la clé au format DER.
La clé privée doit être au format PKCS 8. pkcs-8
Cette erreur se produit car le client a utilisé une clé privée chiffrée et a fourni la clé au format DER.
Correction de l’ordre du certificat certificate-order
La raison la plus courante de l’échec du déploiement d’un certificat est que les certificats intermédiaires ou de chaîne ne sont pas dans le bon ordre.
Les fichiers de certificat intermédiaires doivent se terminer par le certificat racine ou le certificat le plus proche de la racine. Ils doivent être dans l’ordre descendant du certificat main/server
à la racine.
Vous pouvez déterminer l’ordre de vos fichiers intermédiaires à l’aide de la commande suivante.
code language-shell |
---|
|
Vous pouvez vérifier que la clé privée et le certificat main/server
correspondent à l’aide des commandes suivantes.
code language-shell |
---|
|
code language-shell |
---|
|
note note |
---|
NOTE |
La sortie de ces deux commandes doit être exactement la même. Si vous ne parvenez pas à trouver une clé privée correspondante pour votre certificat main/server , vous devez recréer le certificat en générant une nouvelle CSR et/ou en demandant un certificat mis à jour à votre fournisseur SSL. |
Suppression des certificats du client client-certificates
Lors de l’ajout d’un certificat, si vous recevez une erreur similaire à celle-ci :
code language-text |
---|
|
Vous avez probablement inclus le certificat client dans la chaîne de certificats. Assurez-vous que la chaîne ne contient pas le certificat client et réessayez.
Stratégie de certificat policy
Si l’erreur suivante s’affiche, veuillez vérifier la politique de votre certificat.
code language-text |
---|
|
Les valeurs OID intégrées identifient normalement les stratégies de certificat. La génération d’un certificat dans du texte et la recherche de l’OID révèlent la stratégie du certificat.
Vous pouvez générer les détails de votre certificat sous forme de texte à l’aide de l’exemple suivant comme guide.
code language-text |
---|
|
Le modèle OID dans le texte définit le type de politique du certificat.
table 0-row-3 1-row-3 2-row-3 3-row-3 | ||
---|---|---|
Modèle | Politique | Possible dans Cloud Manager |
2.23.140.1.1 |
EV | Oui |
2.23.140.1.2.2 |
OV | Oui |
2.23.140.1.2.1 |
DV | Non |
À l’aide de grep
ping pour les modèles OID dans le texte du certificat de sortie, vous pouvez confirmer votre politique de certificat.
code language-shell |
---|
|
Validité des certificats validity
Cloud Manager s’attend à ce que le certificat SSL soit valide pendant au moins 90 jours à compter de la date actuelle. Vérifiez la validité de la chaîne de certificats.
Un certificat SAN incorrect est appliqué à mon domaine wrong-san-cert
Supposons que vous souhaitiez lier dev.yoursite.com
et stage.yoursite.com
à votre environnement hors production et prod.yoursite.com
à votre environnement de production.
Pour configurer le réseau de diffusion de contenu pour ces domaines, vous avez besoin d’un certificat installé pour chacun d’eux. Vous devez donc installer un certificat qui couvre *.yoursite.com
pour vos domaines hors production et un autre qui couvre également *.yoursite.com
pour vos domaines de production.
Cette configuration est valide. Cependant, lorsque vous mettez à jour l’un des certificats, car les deux certificats couvrent la même entrée SAN, le CDN installe le certificat le plus récent sur tous les domaines applicables, ce qui peut sembler inattendu.
Bien que cela puisse être inattendu, il ne s’agit pas d’une erreur et il s’agit du comportement standard du réseau de diffusion de contenu sous-jacent. Si vous disposez de deux certificats SAN ou plus qui couvrent la même entrée de domaine SAN, si ce domaine est couvert par un certificat et que l’autre est mis à jour, ce dernier sera installé pour le domaine.