The CAFile
pilihan mengkonfigurasi CA untuk digunakan untuk sertifikat otentikasi klien; ini bukan yang kamu inginkan.
Alih-alih, Anda ingin membuat file dalam cert
opsi berisi seluruh rantai sertifikat yang berlaku. Anda ingin menyimpan salinan cadangan dari file itu, lalu membuat yang baru; pada dasarnya menggabungkan dua file, diformat seperti ini:
-----BEGIN CERTIFICATE-----
(certificate from asana.pem file pasted here)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(intermediate certificate here; copy-paste the top chunk from the bundle)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(root certificate here; copy-paste the bottom chunk from the bundle)
-----END CERTIFICATE-----
Ini akan memaksa stunnel untuk menyajikan rantai sertifikat lengkap kepada klien.
Satu berita gembira lebih lanjut; yang openssl s_client
perintah ini sangat berguna untuk menguji masalah rantai sertifikat dan memeriksa bagaimana layanan Anda adalah presentasi sertifikat nya.
Sunting: Oke .. rantai bundel sertifikat itu tiga dalam, tetapi rantai kepercayaan tampak dua dalam. Ada yang tidak beres.
Sertifikat teratas ("Starfield Secure Certification Authority") ditandatangani oleh penerbit bernama "Starfield Class 2 Certification Authority" dengan cap jempol yang dimulai dengan ad7e1c28
.. tetapi sertifikat kedua dalam bundel, bernama persis sama dengan penandatangan sertifikat pertama, yang harus merupakan sertifikat yang sama persis, memiliki cap jempol yang dimulai dengan 363e4734
, dan tanggal kedaluwarsa 10 tahun sebelumnya. Maka sertifikat (root) ketiga adalah penandatangan sertifikat menengah yang disertakan .. tetapi tidak satu pun dari keduanya yang memiliki hubungan dengan yang pertama!
Jika itu tidak masuk akal, jangan khawatir. Ringkasan: pekerjaan yang ceroboh, seseorang dengan serius menjatuhkan bola untuk membangun bundel sertifikat ini. Maka, taruhan terbaik Anda adalah mengekspor file dalam format basis-64 dari browser yang berhasil memvalidasi rantai, menempelkannya ke dalam format yang saya daftarkan dari sana.
Karena itu adalah kekacauan yang membingungkan bukan karena kesalahan Anda sendiri, saya menebak nama DNS Anda dan meraih sertifikat, dan saya pikir ini harus menjadi rantai penuh yang Anda butuhkan: http://pastebin.com/Lnr3WHc8
Qualys SSLLabs sangat berguna untuk memeriksa konfigurasi Anda setelah perubahan.
https://www.ssllabs.com/ssldb/analyze.html
Cek yang Anda punya
sumber
Untuk siapa pun yang menghadapi masalah ini, pos Shane melakukan trik, meskipun saya juga harus memasukkan CAFile. Juga saat membuat rantai, pastikan Anda mengikuti instruksi penamaan file sesuai artikel ini
Dan jika Anda menghadapi masalah ini karena Anda mencoba menggunakan soket web dengan android cordova, pastikan untuk menambahkan wss secara manual ke item daftar putih-cordova Anda, karena * hanya menyertakan http dan https.
sumber