服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 服务器证书在Mac Safari OS中不被接受
Intereting Posts
PuTTY致命错误对话框 – 可以压制吗? 为什么ping不返回本地的DNScaching结果? (在内部networking上使用DNScaching服务器。) 潜在的VMWare 5.1容错缺陷/问题? 为什么SQL Serverdate时间,显示AM,但不显示PM? 如何在我的ubunutu 11.04虚拟机上启用Ipv6 451 4.3.5服务器configuration错误; 关于端口转发 在Azure上的同一个域上设置静态网站和App Service 如何定制特立独行的mac OSX服务器的Apacheconfiguration? 如何configurationPostgreSQL GIN索引来支持部分匹配 在不同的web服务器(nginx,apache,iis等)中重写响应体的可能性 是否有我可以部署的应用程序/脚本,以使我的用户能够更改自己的LDAP密码? networking工作不正常 – 3台电脑在工作,3台没有工作 – 可能是什么? CENTOS 5 – 如何在networking上将驱动器从一台服务器安装到另一台服务器上? 用于Proliant ML350 G5服务器的兼容SATA磁盘

服务器证书在Mac Safari OS中不被接受

我们有一个带有通配符证书的IIS 7服务器。 这应该工作find,如果你在任何浏览器testing它: https : //www.profcoach.nl

但是,当我尝试在Safari MaxOS Leopard或Lion中testing它时,它不起作用,debugging器说:

GET https://profcoach.nl/此服务器的证书无效。 您可能连接到假装为“profcoach.nl”的服务器,这可能会使您的机密信息处于危险之中。

问题是它不给我一个正确的GUI警告popup,它只是杀死请求。

什么可能是确切的问题?

几件事情:

通配符是域的给定级别。 如果您的通配符是“* .example.com”,则不包括名称“example.com”。 您将需要一个主题备用名称来覆盖额外的“example.com”。

第二个问题:

转到任一url时,我的validation都失败了。 例如: 

$ curl -Iv https://www.profcoach.nl/ * About to connect() to www.profcoach.nl port 443 (#0) * Trying 91.224.164.224... connected * Connected to www.profcoach.nl (91.224.164.224) port 443 (#0) * SSLv3, TLS handshake, Client hello (1): * SSLv3, TLS handshake, Server hello (2): * SSLv3, TLS handshake, CERT (11): * SSLv3, TLS alert, Server hello (2): * SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

当我看证书本身时,我看到: 

 $ openssl s_client -connect www.profcoach.nl:443 | openssl x509 -noout -subject depth=1 /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Domain Validation CA - G2 verify error:num=20:unable to get local issuer certificate verify return:0 subject= /OU=Domain Control Validated/CN=*.profcoach.nl

所以通用名称应该为www.profcoach.nl工作。

您是否按照证书颁发机构关于安装任何中间证书的说明进行操作?

https://www.globalsign.com/support/intermediate-root-install.php

他们似乎已经在侧栏上安装IIS的说明。

哦,我刚刚意识到Globalsign去年是伊朗黑客的攻击目标( http://www.theregister.co.uk/2011/09/07/globalsign_suspends_ssl_cert_biz/ )。 他们有可能杀了他们的老中级证书,而且你需要确保你已经安装了现有的证书,所以Mac上的混淆可能与此有关。 我会联系他们在这个问题上的支持来澄清。

更新

https://www.globalsign.com/support/intermediate/domain_bundle2011.php使用该软件包。 我把这个包放到一个文件foo.crt ,运行curl -Iv --cacert foo.crt https://www.profcoach.nlvalidation正确: 

 $ curl -Iv --cacert foo.crt https://www.profcoach.nl * About to connect() to www.profcoach.nl port 443 (#0) * Trying 91.224.164.224... connected * Connected to www.profcoach.nl (91.224.164.224) port 443 (#0) * successfully set certificate verify locations: * CAfile: foo.crt CApath: none * SSLv3, TLS handshake, Client hello (1): * SSLv3, TLS handshake, Server hello (2): * SSLv3, TLS handshake, CERT (11): * SSLv3, TLS handshake, Server finished (14): * SSLv3, TLS handshake, Client key exchange (16): * SSLv3, TLS change cipher, Client hello (1): * SSLv3, TLS handshake, Finished (20): * SSLv3, TLS change cipher, Client hello (1): * SSLv3, TLS handshake, Finished (20): * SSL connection using AES128-SHA * Server certificate: * subject: OU=Domain Control Validated; CN=*.profcoach.nl * start date: 2012-07-05 14:59:04 GMT * expire date: 2013-07-06 14:59:04 GMT * subjectAltName: www.profcoach.nl matched * issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign Domain Validation CA - G2 * SSL certificate verify ok.

问题似乎是证书密钥的长度。 这是8K,重新颁发2K密钥证书后,它像一个魅力工作。

很奇怪,只有MacOS上的Safari有这个问题!