Risolvere i problemi relativi ai certificati SSL
- Si applica a:
- Experience Manager as a Cloud Service
- Argomenti:
- Cloud Manager
- Sviluppo
Creato per:
- Amministratore
- Sviluppatore
Scopri come risolvere i problemi relativi ai certificati SSL identificando le cause comuni in modo da poter mantenere connessioni sicure.
Certificato non valido
Certificato non valido
Questo errore si verifica perché il cliente ha utilizzato una chiave privata crittografata e ha fornito la chiave in formato DER.
La chiave privata deve essere in formato PKCS 8
La chiave privata deve essere in formato PKCS 8
Questo errore si verifica perché il cliente ha utilizzato una chiave privata crittografata e ha fornito la chiave in formato DER.
Ordine corretto dei certificati
Ordine corretto dei certificati
Il motivo più comune alla base di una distribuzione dei certificati non riuscita è che i certificati intermedi o a catena non sono disposti nell’ordine corretto.
I file di certificato intermedi devono terminare con il certificato radice o con quello più vicino. Devono essere disposti in ordine decrescente, dal certificato main/server alla radice.
È possibile determinare l’ordine dei file intermedi con il seguente comando.
openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout
Puoi verificare che la chiave privata e il certificato main/server corrispondano con i seguenti comandi.
openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
NOTEmain/server, ti viene richiesto di generarne una nuova generando un nuovo CSR e/o richiedendo un certificato aggiornato al fornitore SSL.Rimuovi certificati client
Quando aggiungi un certificato, se ricevi un errore simile al seguente:
The Subject of an intermediate certificate must match the issuer in the previous certificate. The SKI of an intermediate certificate must match the AKI of the previous certificate.
È probabile che tu abbia incluso il certificato client nella catena di certificati. Assicurati che la catena non includa il certificato client e riprova.
Criterio certificato
Se visualizzi il seguente errore, controlla i criteri del certificato.
Certificate policy must conform with EV or OV, and not DV policy.
I valori OID incorporati solitamente identificano i criteri del certificato. L’output di un certificato come testo e la ricerca dell’OID rivelano i criteri del certificato.
Puoi generare i dettagli del certificato come testo basandoti sull’esempio seguente come guida.
openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
Data:
Version: 3 (0x2)
Serial Number:
91:78:c0:f5:8c:b8:fc:cc
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
Validity
Not Before: Nov 10 22:55:36 2021 GMT
Not After : Dec 6 15:35:06 2022 GMT
Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
Subject Public Key Info:
...
Il pattern OID nel testo definisce il tipo di criterio del certificato.
2.23.140.1.12.23.140.1.2.22.23.140.1.2.1Conferma il criterio del certificato eseguendo il comando grep per i pattern OID nel testo del certificato generato.
# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5
# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5
# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5
Validità del certificato
Cloud Manager richiede che il certificato SSL sia valido per almeno 90 giorni dalla data corrente. Verifica la validità della catena di certificati.
Il certificato SAN applicato al dominio non è corretto
Si supponga di voler collegare dev.yoursite.com e stage.yoursite.com all'ambiente non di produzione e prod.yoursite.com all'ambiente di produzione.
Per configurare la rete CDN per questi domini, è necessario installare un certificato per ciascuno di essi, quindi installare un certificato che copre *.yoursite.com per i domini non di produzione e un altro che copre anche *.yoursite.com per i domini di produzione.
Configurazione valida. Tuttavia, quando aggiorni uno dei certificati, poiché entrambi i certificati coprono la stessa voce SAN, la rete CDN installerà il certificato più recente su tutti i domini applicabili, il che potrebbe apparire imprevisto.
Anche se questo comportamento può essere imprevisto, non si tratta di un errore e si tratta del comportamento standard della rete CDN sottostante. Se si dispone di due o più certificati SAN che coprono la stessa voce di dominio SAN, se tale dominio è coperto da un certificato e l'altro è aggiornato, quest'ultimo verrà ora installato per il dominio.