SSL: Когда я проверяю через браузер, я получаю свой купленный сертификат godaddy, но когда я проверяю с помощью openssl, я получаю самоподписанный сертификат?

Question

У меня есть веб-сайт с действительным сертификатом подстановки от Godaddy.Когда я просматриваю его в своем браузере, я получаю действующий безопасный сертификат (зеленый замок), а когда я проверяю сертификат в браузере, он говорит, что он защищен и подписан godaddy, и все выглядит нормально.

Однако, если я использую openssl s_client -connect my.site.com:443

Я получаю самозаверяющий сертификат:

эмитент = / C = AU / ST = Some-State / O = Интернет Widgits Pty Ltd

Я не понимаю, почему это так.Кажется, есть проблема с некоторыми из моих пользователей, у которых есть ошибки самозаверяющего ssl в их браузерах, и я думаю, что это как-то связано с этим.

Я использую Ubuntu 11.04 с apache2.Любые идеи, почему это так, или как я мог бы дополнительно изучить проблему?

Answer 1

Общая проблема с OpenSSL заключается в том, что он предварительно не настроен с набором доверенных сертификатов CA (в отличие от вашего браузера). Вам необходимо указать его с помощью -CApath или -CAfile.

Другая распространенная проблема, с которой могут столкнуться ваши пользователи, - это отсутствие промежуточных сертификатов CA.Цепочка сертификатов, представленная вашим сервером (которую вы действительно можете проверить с помощью openssl s_client, возможно, с помощью -showcerts, если хотите получить полную информацию), должна быть представлена ​​в правильном порядке, от сертификата хоста до корневого CA (исключая корневой CA, хотя на практике я заметил, что это не помешает иметь его), поэтому DN эмитента одного сертификата является DN субъекта следующего сертификата (до тех пор, пока DN эмитента не станет DN субъекта одного из ваших доверенных CA).