Installazione del certificato SSL COMODO – Ho installato lo stack LEMP per uno dei miei client sulla sua macchina CentOS 7 e ho configurato il certificato SSL ottenuto da COMODO per il suo dominio. Funzionava bene su desktop e dispositivi mobili. Ma il mio cliente è tornato con un problema e ha detto che vede un errore di avviso SSL su uno dei suoi cellulari Android. Ecco cosa ha detto il mio cliente:
When the domain being accessed on some android devices, the SSL certificate wasn't trusted ! It was throwing a non safe warning site for the domain!
Sì, il mio cliente aveva ragione:il certificato funzionava correttamente sulla maggior parte dei dispositivi, ma pochi hanno lanciato un messaggio di avviso. Allora come risolvere questo problema?
Soluzione:
Il motivo più probabile dell'errore è che l'autorità di certificazione che ha emesso il certificato SSL è attendibile su pochi dispositivi, ma non su tutti. Ma come, se una CA è affidabile, sarebbe disponibile in tutti i dispositivi che non lo sono? Non necessariamente! Se il certificato è stato emesso dall'autorità di certificazione COMODO, controlla se l'autorità è elencata come CA attendibile per Android in questo elenco. In caso contrario, è necessario configurare una catena SSH affidabile.
Per risolvere il problema, segui i passaggi seguenti.
Passaggio 1 :Avresti ottenuto un file zip dall'autorità CA COMODO. Decomprimi per trovare 3 file come elencato di seguito:
<domain_name>.p7b <domain_name>.ca-bundle <domain_name>.crt
Passaggio 2 :Concatena il bundle CA e il file del certificato (file CRT) che viene estratto nel passaggio precedente
#cat <domain_name>.crt <domain_name>.ca-bundle >><domain_name>-complete-bundle.crt
Passaggio 3 :Archivia il pacchetto nella cartella SSL appropriata come di seguito:
#cp <domain_name>-complete-bundle.crt /etc/pki/tls/certs/<domain_name>-complete-bundle.crt
Passaggio 4 :Archivia la tua chiave privata nella cartella SSL appropriata come di seguito:
#cp <domain_name>.key /etc/pki/tls/private/<domain_name>.key
Passaggio 5 :Assicurati di aggiungere la configurazione nginx di seguito che punta al file del certificato e alla chiave privata corretti come archiviato nei passaggi precedenti
server {
listen 443 ssl;
server_name <domain_name>;
ssl_certificate /etc/pki/tls/certs/<domain_name>-complete-bundle.crt;
ssl_certificate_key /etc/pki/tls/private/<domain_name>.key;
ssl_prefer_server_ciphers on;
} Passaggio 6 :Dopo aver apportato le modifiche precedenti al file di configurazione di nginx, verifica la presenza di errori di sintassi prima di provare a riavviare il servizio come segue:
#nginx -t
Passaggio 7 :riavvia il servizio nginx
#systemctrl restart nginx
Ora in ogni browser e dominio dovrebbe funzionare correttamente.
Nota :Puoi anche analizzare eventuali problemi con il tuo certificato SSL su SSL-LABS.