DocumentazioneAEM as a Cloud ServiceGuida utente

Risolvere i problemi relativi ai certificati SSL certificate-problems

Last update: Tue Dec 16 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Si applica a:
  • Experience Manager as a Cloud Service

Creato per:

  • Amministratore
  • Sviluppatore

Scopri come risolvere i problemi relativi ai certificati SSL identificando le cause comuni in modo da poter mantenere connessioni sicure.

Certificato non valido

Certificato non valido invalid-certificate

Questo errore si verifica perché il cliente ha utilizzato una chiave privata crittografata e ha fornito la chiave in formato DER.

La chiave privata deve essere in formato PKCS 8

La chiave privata deve essere in formato PKCS 8 pkcs-8

Questo errore si verifica perché il cliente ha utilizzato una chiave privata crittografata e ha fornito la chiave in formato DER.

Ordine corretto dei certificati

Ordine corretto dei certificati certificate-order

Il motivo più comune alla base di una distribuzione dei certificati non riuscita è che i certificati intermedi o a catena non sono disposti nell’ordine corretto.

I file di certificato intermedi devono terminare con il certificato radice o con quello più vicino. Devono essere disposti in ordine decrescente, dal certificato main/server alla radice.

È possibile determinare l’ordine dei file intermedi con il seguente comando.

code language-shell 
openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout

Puoi verificare che la chiave privata e il certificato main/server corrispondano con i seguenti comandi.

code language-shell 
openssl x509 -noout -modulus -in certificate.pem | openssl md5
code language-shell 
openssl rsa -noout -modulus -in ssl.key | openssl md5
note note
NOTE
L’output di questi due comandi deve essere esattamente lo stesso. Se non riesci a individuare una chiave privata corrispondente al certificato main/server, ti viene richiesto di generarne una nuova generando un nuovo CSR e/o richiedendo un certificato aggiornato al fornitore SSL.
Rimuovi certificati client

Rimuovi certificati client client-certificates

Quando aggiungi un certificato, se ricevi un errore simile al seguente:

code language-text 
The Subject of an intermediate certificate must match the issuer in the previous certificate. The SKI of an intermediate certificate must match the AKI of the previous certificate.

È probabile che tu abbia incluso il certificato client nella catena di certificati. Assicurati che la catena non includa il certificato client e riprova.

Criteri certificato

Criterio certificato policy

Se visualizzi il seguente errore, controlla i criteri del certificato.

code language-text 
Certificate policy must conform with EV or OV, and not DV policy.

I valori OID incorporati solitamente identificano i criteri del certificato. L’output di un certificato come testo e la ricerca dell’OID rivelano i criteri del certificato.

Puoi generare i dettagli del certificato come testo basandoti sull’esempio seguente come guida.

code language-text 
openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            91:78:c0:f5:8c:b8:fc:cc
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
        Validity
            Not Before: Nov 10 22:55:36 2021 GMT
            Not After : Dec  6 15:35:06 2022 GMT
        Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
        Subject Public Key Info:
...

Il pattern OID nel testo definisce il tipo di criterio del certificato.

table 0-row-3 1-row-3 2-row-3 3-row-3
Pattern Criterio Accettabile in Cloud Manager
2.23.140.1.1 EV
2.23.140.1.2.2 OV
2.23.140.1.2.1 DV No

Conferma il criterio del certificato eseguendo il comando grep per i pattern OID nel testo del certificato generato.

code language-shell 
# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5

# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5

# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5
Validità del certificato

Validità del certificato validity

Cloud Manager richiede che il certificato SSL sia valido per almeno 90 giorni dalla data corrente. Verifica la validità della catena di certificati.

Il certificato SAN applicato al dominio non è corretto

Il certificato SAN applicato al dominio non è corretto wrong-san-cert

Si supponga di voler collegare dev.yoursite.com e stage.yoursite.com all'ambiente non di produzione e prod.yoursite.com all'ambiente di produzione.

Per configurare la rete CDN per questi domini, è necessario installare un certificato per ciascuno di essi, quindi installare un certificato che copre *.yoursite.com per i domini non di produzione e un altro che copre anche *.yoursite.com per i domini di produzione.

Configurazione valida. Tuttavia, quando si aggiorna uno dei certificati, entrambi i certificati coprono ancora la stessa voce SAN. Di conseguenza, la rete CDN installa il certificato più recente su tutti i domini applicabili, il che può sembrare imprevisto.

Anche se questo scenario può essere imprevisto, non si tratta di un errore e rappresenta il comportamento standard della rete CDN sottostante. Se sono presenti due o più certificati SAN che coprono la stessa voce di dominio SAN, la rete CDN installa il certificato aggiornato più di recente per quel dominio. Questa situazione si verifica anche quando un altro certificato copre già la stessa voce di dominio.

recommendation-more-help
fbcff2a9-b6fe-4574-b04a-21e75df764ab