Risolvere i problemi relativi ai certificati SSL certificate-problems
Scopri come risolvere i problemi relativi ai certificati SSL identificando le cause comuni in modo da poter mantenere connessioni sicure.
Certificato non valido invalid-certificate
Questo errore si verifica perché il cliente ha utilizzato una chiave privata crittografata e ha fornito la chiave in formato DER.
La chiave privata deve essere in formato PKCS 8 pkcs-8
Questo errore si verifica perché il cliente ha utilizzato una chiave privata crittografata e ha fornito la chiave in formato DER.
Ordine corretto dei certificati certificate-order
Il motivo più comune alla base di una distribuzione dei certificati non riuscita è che i certificati intermedi o a catena non sono disposti nell’ordine corretto.
I file di certificato intermedi devono terminare con il certificato radice o con quello più vicino. Devono essere disposti in ordine decrescente, dal certificato main/server
alla radice.
È possibile determinare l’ordine dei file intermedi con il seguente comando.
code language-shell |
---|
|
Puoi verificare che la chiave privata e il certificato main/server
corrispondano con i seguenti comandi.
code language-shell |
---|
|
code language-shell |
---|
|
note note |
---|
NOTE |
L’output di questi due comandi deve essere esattamente lo stesso. Se non riesci a individuare una chiave privata corrispondente al certificato main/server , ti viene richiesto di generarne una nuova generando un nuovo CSR e/o richiedendo un certificato aggiornato al fornitore SSL. |
Rimuovi certificati client client-certificates
Quando aggiungi un certificato, se ricevi un errore simile al seguente:
code language-text |
---|
|
È probabile che tu abbia incluso il certificato client nella catena di certificati. Assicurati che la catena non includa il certificato client e riprova.
Criterio certificato policy
Se visualizzi il seguente errore, controlla i criteri del certificato.
code language-text |
---|
|
I valori OID incorporati solitamente identificano i criteri del certificato. L’output di un certificato come testo e la ricerca dell’OID rivelano i criteri del certificato.
Puoi generare i dettagli del certificato come testo basandoti sull’esempio seguente come guida.
code language-text |
---|
|
Il pattern OID nel testo definisce il tipo di criterio del certificato.
table 0-row-3 1-row-3 2-row-3 3-row-3 | ||
---|---|---|
Pattern | Criterio | Accettabile in Cloud Manager |
2.23.140.1.1 |
EV | Sì |
2.23.140.1.2.2 |
OV | Sì |
2.23.140.1.2.1 |
DV | No |
Conferma il criterio del certificato eseguendo il comando grep
per i pattern OID nel testo del certificato generato.
code language-shell |
---|
|
Validità del certificato validity
Cloud Manager richiede che il certificato SSL sia valido per almeno 90 giorni dalla data corrente. Verifica la validità della catena di certificati.
Il certificato SAN applicato al dominio non è corretto wrong-san-cert
Si supponga di voler collegare dev.yoursite.com
e stage.yoursite.com
all'ambiente non di produzione e prod.yoursite.com
all'ambiente di produzione.
Per configurare la rete CDN per questi domini, è necessario installare un certificato per ciascuno di essi, quindi installare un certificato che copre *.yoursite.com
per i domini non di produzione e un altro che copre anche *.yoursite.com
per i domini di produzione.
Configurazione valida. Tuttavia, quando aggiorni uno dei certificati, poiché entrambi i certificati coprono la stessa voce SAN, la rete CDN installerà il certificato più recente su tutti i domini applicabili, il che potrebbe apparire imprevisto.
Anche se questo comportamento può essere imprevisto, non si tratta di un errore e si tratta del comportamento standard della rete CDN sottostante. Se si dispone di due o più certificati SAN che coprono la stessa voce di dominio SAN, se tale dominio è coperto da un certificato e l'altro è aggiornato, quest'ultimo verrà ora installato per il dominio.