Apache2 + OpenSSL, Certificat de CA

J'ai créé l'auto-signé le certificat du serveur, le serveur privé de la clé et le Certificat de l'Autorité de certificat en utilisant les commandes ci-dessous.

openssl genrsa -out ca.key 2048
openssl req -config openssl.cnf -new -x509 -days 365 -key ca.key -out ca.crt
openssl genrsa -out server.key 2048
openssl req -config openssl.cnf -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

J'ai ensuite ajouté à httpd-ssl.conf à l'aide de la ci-dessous.

SSLCertificateFile "C:/Apache2/conf/server.crt"
SSLCertificateKeyFile "C:/Apache2/conf/server.key"
SSLCertificateChainFile "C:/Apache2/conf/ca.crt"

Cependant lors de la visite de https://localhost - je obtenir:-

Connexion sécurisée Échoué Une erreur est survenue pendant une connexion à
localhost. Par les pairs du certificat a une signature non valide. (Code d'erreur:
sec_error_bad_signature) La page que vous essayez de vue ne peut pas être
parce que l'authenticité des données reçues ne pouvait pas être
vérifié.
* S'il vous plaît contacter les propriétaires de site web pour les informer de ce problème.

Toutes les idées de quelqu'un?

Grâce

Normal non fiables erreur
localhost utilise un certificat de sécurité invalide.
Le certificat n'est pas approuvé, car il est auto-signé.

Mon certificat d'autorité de certification d'erreur
Une erreur est survenue pendant une connexion à localhost.
Par les pairs du certificat a une signature non valide.

Ce nom commun (CN) avez-vous utilisé lorsque vous avez généré votre certificat ?
Pour le serveur et ca j'ai utilisé localhost

OriginalL'auteur TSUK | 2012-03-27

  1. 11

    Essayer de re-générer votre certificat de cette façon:

    openssl genrsa -des3 -out server.key 2048
openssl req -new -key server.key -out server.csr

    Ensuite, supprimer le mot de passe du certificat de serveur pour éviter Apache vous demandant le mot de passe chaque fois que vous redémarrez:

    cp server.key server.key.org
openssl rsa -in server.key.org -out server.key

    Et puis, générer votre certificat auto-signé

    openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

    Après, il suffit de spécifier SSLCertificateFile et SSLCertificateKeyFile pour l'utilisation de votre nouveau certificat.

    OriginalL'auteur Pierre-Olivier

  2. 1

    Parce que les certificats auto-signés ne disposez pas d'une autorité de certification racine de confiance, vous devez les ajouter à la le navigateur de l'autorité de certification de confiance de la liste. Un navigateur ne peut pas vérifier une untrused certificat.

    Je pense que mon erreur a peut-être une configuration plutôt mon certificat auto-signé. Je n'ai jamais utilisé SSLCertificateChainFile "C:/Apache2/conf/ca.crt" pour les certificats auto-signés, mais si je n'utilise pas de ca.crt et de générer un non-ca crt, il fonctionne parfaitement.

    OriginalL'auteur MD-Tech

  3. 0

    C'est parce que c'est un certificat auto-signé. Pour éviter ce message, vous aurez besoin de vous procurer vérifié et acheter un certificat d'autorité de certification de confiance de l'autorité comme Verisign, GoDaddy,etc.
    Vous pouvez aussi essayer de les gratuit certificat de COMODO Instant SSL

    Puisque vous êtes tout simplement de le tester sur localhost, ne vous inquiétez pas au sujet de l'avertissement. Mais sur la production, ce qui pourrait décourager loin de vos utilisateurs.

    Normalement sur un non-CA certificat non approuvé-je obtenir le code d'Erreur: sec_error_untrusted_issuer mais le code d'Erreur: sec_error_bad_signature ne me permet pas d'ajouter une exception. Pouvez-vous voir si j'ai fait une erreur de configuration?

    OriginalL'auteur Rahul