我在一个域的不同的一级子域上有几个相关的服务。 目标是启用所有的HTTPS。
所以我从GoDaddy为我的域名购买了通配符SSL证书:* .domain.com。
比我在这里做了一个关键: http : //blog.dynamic50.com/2011/02/15/ssl-on-wildcard-domains-on-heroku-using-godaddy/
接下来,我更新了两个服务:其中一个是在Rackspace上托pipe的独立Ruby应用程序(goliath),另一个托pipe在Heroku上。 独立的一个工作正常(证书是有效的,但Chrome说它不能检查它是否被撤销),但在Heroku应用程序浏览器说“恐慌,证书被吊销,离开”。 这两个应用程序使用相同的crt和密钥文件。 哪里可以解决问题?
这里是服务的CURL输出(最后一行有差别):
1. standalone * SSLv3, TLS handshake, Client hello (1): ... * SSLv3, TLS handshake, Finished (20): * SSL connection using AES256-SHA * Server certificate: * subject: O=*.mydomain.com; OU=Domain Control Validated; CN=*.mydomain.com * start date: 2012-05-17 12:37:43 GMT * expire date: 2012-08-02 12:34:51 GMT * subjectAltName: standaloneservice.mydomain.com matched * issuer: C=US; ST=Arizona; L=Scottsdale; O=GoDaddy.com, Inc.; OU=http://certificates.godaddy.com/repository; CN=Go Daddy Secure Certification Authority; serialNumber=07969287 * SSL certificate verify ok. 2. heroku * SSLv3, TLS handshake, Client hello (1): ... * SSLv3, TLS handshake, Finished (20): * SSL connection using AES256-SHA * Server certificate: * subject: O=*.mydomain.com; OU=Domain Control Validated; CN=*.mydomain.com * start date: 2011-08-02 12:34:51 GMT * expire date: 2012-08-02 12:34:51 GMT * subjectAltName: herokuservice.mydomain.com matched * issuer: C=US; ST=Arizona; L=Scottsdale; O=GoDaddy.com, Inc.; OU=http://certificates.godaddy.com/repository; CN=Go Daddy Secure Certification Authority; serialNumber=07969287 * SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway. 任何build议和debugging技巧是最受欢迎的。
谢谢!
两个证书之间的证书有效期有一个不同的开始date,所以两个证书之间的证书有效期不同。
我敢打赌,你今天有GoDaddy重新发布通配符证书(这是安装在独立服务中的一个 – 它有一个有效年份而不是一整年),并且Heroku服务上的一个被撤销处理。
使用openssl s_client -connect server:port -showcerts – 两个证书具有相同的序列号,但它们将具有不同的指纹。 您需要确保您将新证书放入Heroku需要的位置,然后重新启动服务,以便加载新文件。