服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 证书不可信,因为发行者证书是未知的。 (错误代码:sec_error_unknown_issuer)Firefox
Intereting Posts
Samba4 sysvol复制错误 Tomcat 6的Web应用程序作为根 – 部署两次? 如何忽略Webcaching中的查询参数? Server 2012 Essential从域控制器(本身)断开连接 为w3wp工作进程分配更多的内存 谷歌作为域邮件接收器,和Linux后缀作为另一个发件人? AWS EC2服务器 – httpstream量未到达服务器 如何在Linux上设置WinXP虚拟机 每个特定文件夹中的文件总是777? tomcat(tcServer)在linux的80端口…好主意? 在RHEL 6上安装libxml2.8 如何从Linux清除磁盘条目 mod_rewrite在URL参数中包含斜杠 rsync也查找修改的文件 aws服务器的根,而不是Ubuntu的

证书不可信,因为发行者证书是未知的。 (错误代码:sec_error_unknown_issuer)Firefox

一个网站想要将networking解决scheme的SSL证书切换到甘地。 一切似乎都正确安装,除了只有在Firefox中引发错误。 在Chrome和IE上,没有错误被抛出。 看起来authenticationpath有问题。 我尝试了一些东西,并search了一下,但问题不会消失。 任何提示将不胜感激。 先谢谢你!

尝试的步骤:

  • 根据http://wiki.gandi.net/en/ssl/intermediate(SHA2标准证书)的说明从甘迪获得的甘地中级证书
  • 将Gandi中级证书添加到服务器(MMC>证书>中级证书颁发机构>证书)
  • USERTRUST RSA证书颁发机构证书从SSL-Tools获取, url为https://ssl-tools.net/certificates/1y0ovx5-usertrust-rsa-certification-authority
  • 将USERTrust RSA证书颁发机构证书添加到服务器(MMC>证书>受信任的根证书颁发机构>证书)
  • 每次安装后重新启动IIS。
  • 每次安装后清除本地浏览器caching。

Firefox错误: 

Technical Details www.somedomain.org uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. (Error code: sec_error_unknown_issuer)

Firefox 34证书Heirarchy: 

 Gandi Standard SSL CA 2 > somedomain.org

Chrome 40和Internet Explorer 11authenticationpath: 

 USERTRust > USERTrust RSA Certification Authority > Gandi Standard SSL CA 2 > somedomain.org

SSL实验室testing结果( https://www.ssllabs.com/ssltest/analyze.html ): 

 Additional Certificates (if supplied) Certificates provided 2 (2851 bytes) Chain issues Incomplete #2 Subject Gandi Standard SSL CA 2 Fingerprint: 247106a405b288a46e70a0262717162d0903e734 Valid until Wed Sep 11 16:59:59 PDT 2024 (expires in 9 years and 8 months) Key RSA 2048 bits (e 65537) Issuer USERTrust RSA Certification Authority Signature algorithm SHA384withRSA Certification Paths 1 Sent by server somedomain.org Fingerprint: 0123456789012345678901234567890123456789 RSA 2048 bits (e 65537) / SHA256withRSA 2 Sent by server Gandi Standard SSL CA 2 Fingerprint: 247106a405b288a46e70a0262717162d0903e734 RSA 2048 bits (e 65537) / SHA384withRSA 3 Extra download USERTrust RSA Certification Authority Fingerprint: eab040689a0d805b5d6fd654fc168cff00b78be3 RSA 4096 bits (e 65537) / SHA384withRSA 4 In trust store AddTrust External CA Root Self-signed Fingerprint: 02faf3e291435468607857694df5e45b68851868 RSA 2048 bits (e 65537) / SHA1withRSA Weak or insecure signature, but no impact on root certificate

SSL-Toolstesting结果( https://ssl-tools.net/webservers/ ): 

 Certificate chain somedomain.org 1054 days remaining 2048 bit sha256WithRSAEncryption - Gandi Standard SSL CA 2 - 3537 days remaining 2048 bit sha384WithRSAEncryption - Root certificate unknown -- USERTrust RSA Certification Authority

服务器:

  • Windows Server 2008 R2
  • IIS 7.5

USERTrust RSA证书颁发机构 ”在所有平台上都不被识别为根CA. 因此,最好的select是将其用作中间CA,具有由“ AddTrust External CA Root ”签名的证书。

您可以通过http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt取回这个证书

正确安装(最接受)您的证书是:

  • 存储
    • AddTrust外部CA根
  • 中间商店
    • USERTrust RSAauthentication机构(由AddTrust签署)
    • 甘地标准SSL CA 2
  • 个人商店
    • [你的服务器证书]

Windows Server 2008 R2自动pipe理可信证书,以便您的服务器可以获得下一个configuration:

  • 存储
    • AddTrust外部CA根
    • USERTrust RSAauthentication机构(自签名)
  • 中间商店
    • USERTrust RSAauthentication机构(由AddTrust签署)
    • 甘地标准SSL CA 2
  • 个人商店
    • [你的服务器证书]

当服务器发送证书时,它select到根的最短path:

  • [服务器] <Gandi <USERTrust(自签名)

对大多数平台来说,这是一个不完整的链条。

如果这是您的问题,最好的解决scheme是在根存储中find“USERTrust RSACertification Authority”并将其属性编辑为“ 禁用此证书所有用途 ”。

重新启动服务器后,Windows将始终生成所需的链:

  • [服务器] <Gandi <USERTrust <AddTrust