COMODOSSSL証明書のインストール –クライアントの1つにLEMPスタックをCentOS 7マシンにインストールし、COMODOから取得したSSL証明書を彼のドメイン用に構成しました。デスクトップとモバイルデバイスで正常に機能していました。しかし、私のクライアントは問題を抱えて戻ってきて、Androidモバイルの1つでSSL警告エラーが発生したと言いました。クライアントのコメントは次のとおりです。
When the domain being accessed on some android devices, the SSL certificate wasn't trusted ! It was throwing a non safe warning site for the domain!
はい、私のクライアントは正しかった–証明書はほとんどのデバイスで正常に機能していましたが、警告メッセージをスローしたものはほとんどありませんでした。では、これを修正するにはどうすればよいですか?
解決策:
エラーの最も可能性の高い理由は、SSL証明書を発行した認証局が一部のデバイスで信頼されているが、すべてでは信頼されていないことです。しかし、CAが信頼されている場合、すべてのデバイスで利用できるとは限りません。必ずしも!証明書がCOMODO認証局によって発行された場合は、その認証局がこのリストにAndroid用の信頼できるCAとしてリストされているかどうかを確認します。そうでない場合は、信頼できるSSHチェーンを設定する必要があります。
この問題を解決するには、以下の手順に従ってください。
ステップ1 :COMODOCA機関からzipファイルを入手しているはずです。解凍して、以下の3つのファイルを見つけます:
<domain_name>.p7b <domain_name>.ca-bundle <domain_name>.crt
ステップ2 :CAバンドルと上記の手順で抽出した証明書ファイル(CRTファイル)を連結します
#cat <domain_name>.crt <domain_name>.ca-bundle >><domain_name>-complete-bundle.crt
ステップ3 :バンドルを以下のように適切なsslフォルダに保存します:
#cp <domain_name>-complete-bundle.crt /etc/pki/tls/certs/<domain_name>-complete-bundle.crt
ステップ4 :以下のように、秘密鍵を適切なSSLフォルダに保存します:
#cp <domain_name>.key /etc/pki/tls/private/<domain_name>.key
ステップ5 :前の手順で保存した正しい証明書ファイルと秘密鍵を指す以下のnginx構成を必ず追加してください
server {
listen 443 ssl;
server_name <domain_name>;
ssl_certificate /etc/pki/tls/certs/<domain_name>-complete-bundle.crt;
ssl_certificate_key /etc/pki/tls/private/<domain_name>.key;
ssl_prefer_server_ciphers on;
} ステップ6 :nginx構成ファイルに上記の変更を加えた後、以下のようにサービスを再起動する前に、構文エラーを確認してください。
#nginx -t
ステップ7 :nginxサービスを再起動します
#systemctrl restart nginx
これで、すべてのブラウザとドメインで、正しく機能するはずです。
注 :SSL-LABSでSSL証明書の問題を分析することもできます。