Solução de problemas de certificado SSL
- Tópicos:
- Cloud Manager
- Desenvolvimento
Criado para:
- Administrador
- Desenvolvedor
Saiba como solucionar problemas de certificado SSL identificando causas comuns para que você possa manter conexões seguras.
Certificado inválido
Certificado inválido
Esse erro ocorre porque o cliente usou uma chave privada criptografada e forneceu a chave no formato DER.
A chave privada precisa estar no formato PKCS 8
A chave privada precisa estar no formato PKCS 8
Esse erro ocorre porque o cliente usou uma chave privada criptografada e forneceu a chave no formato DER.
Ordem correta dos certificados
Ordem correta dos certificados
O motivo mais comum para uma falha na implantação de um certificado é os certificados intermediários ou em cadeia não estarem na ordem correta.
Os arquivos de certificado intermediários devem terminar com o certificado raiz ou o certificado mais próximo da raiz. Eles devem estar em ordem decrescente, do main/server certificado à raiz.
Você pode determinar a ordem dos arquivos intermediários usando o comando a seguir.
openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout
Você pode verificar se a chave privada e o certificado main/server correspondem usando os comandos a seguir.
openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
NOTEmain/server, será necessário rechavear o certificado gerando uma nova CSR e/ou solicitando um certificado atualizado do seu fornecedor de SSL.Remover certificados de cliente
Ao adicionar um certificado, se você receber um erro semelhante ao seguinte:
The Subject of an intermediate certificate must match the issuer in the previous certificate. The SKI of an intermediate certificate must match the AKI of the previous certificate.
Você provavelmente incluiu o certificado de cliente na cadeia de certificados. Verifique se a cadeia não inclui o certificado de cliente e tente novamente.
Política de certificado
Se o seguinte erro for exibido, verifique a política do seu certificado.
Certificate policy must conform with EV or OV, and not DV policy.
Os valores de OID incorporados normalmente identificam as políticas de certificados. Extrair o texto de um certificado e pesquisar o OID revela a política do certificado.
Você pode exibir os detalhes do certificado como texto usando o exemplo a seguir como guia.
openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
Data:
Version: 3 (0x2)
Serial Number:
91:78:c0:f5:8c:b8:fc:cc
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
Validity
Not Before: Nov 10 22:55:36 2021 GMT
Not After : Dec 6 15:35:06 2022 GMT
Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
Subject Public Key Info:
...
O padrão OID no texto define o tipo de política do certificado.
2.23.140.1.12.23.140.1.2.22.23.140.1.2.1Ao grep fazer ping nos padrões OID no texto extraído do certificado, é possível confirmar a política do certificado.
# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5
# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5
# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5
Validade do certificado
O Cloud Manager espera que o certificado SSL seja válido por pelo menos 90 dias a partir da data atual. Verifique a validade da cadeia de certificados.
Certificado SAN incorreto aplicado ao meu domínio
Digamos que você queira vincular dev.yoursite.com e stage.yoursite.com ao seu ambiente de não produção e prod.yoursite.com ao seu ambiente de produção.
Para configurar a CDN para esses domínios, você precisa de um certificado instalado para cada um, para instalar um certificado que cubra o *.yoursite.com para seus domínios de não produção e outro que também cubra o *.yoursite.com para seus domínios de produção.
Essa configuração é válida. No entanto, ao atualizar um dos certificados, como ambos abrangem a mesma entrada SAN, a CDN instalará o certificado mais recente em todos os domínios aplicáveis, o que pode parecer inesperado.
Embora isso possa ser inesperado, não é um erro e é o comportamento padrão do CDN subjacente. Se você tiver dois ou mais certificados SAN que abranjam a mesma entrada de domínio SAN, se esse domínio for coberto por um certificado e o outro for atualizado, o último será instalado para o domínio.