mark一下,关于Nginx + StartSSL Class1免费证书在Firefox中被提示未信任发行商的问题

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
rabbitclark
帖子: 1
注册时间: 2010-12-02 18:58
送出感谢: 0
接收感谢: 0

mark一下,关于Nginx + StartSSL Class1免费证书在Firefox中被提示未信任发行商的问题

#1

帖子 rabbitclark » 2010-12-02 18:59

最近搞了个便宜VPS玩,装起了Ubuntu 10.4 LTS + Nginx(with SSL) + php(cgi) + MySQL + StartSSL(Free Class1),根据步骤申请完证书之后得到了ssl.crt和ssl.key,并修改nginx配置文件以开启SSL:

代码: 全选

...
        ssl  on;
        ssl_certificate  /etc/nginx/ssl.crt;
        ssl_certificate_key  /etc/nginx/ssl.key;
...
然后测试,IE/Chrome地址栏均呈绿色(验证通过)
在Firefox中测试的时候,提示证书发行商不被信任,一开始以为是Firefox认证根证书的问题,就看了一下

代码: 全选

工具-选项-高级-加密-查看证书
发现StartSSL根证书已经在Firefox证书信任列表里面

于是排错为ssl.crt中并不包含StartSSL CA的问题



解决办法:

从StartSSL官方服务器下载StartSSL CA证书和StartSSL Class1 CA证书,并与之前生成的ssl.crt合并:
mark一下,关于Nginx + StartSSL Class1免费证书在Firefox中被提示未信任发行商的问题


首先备份原始ssl.crt:

代码: 全选

cp ssl.crt ssl.crt.crtonly
从StartSSL下载StartSSL CA证书:

代码: 全选

wget http://cert.startssl.com/certs/ca.pem
从StartSSL下载StartSSL Class1 Sub CA证书:

代码: 全选

wget http://cert.startssl.com/certs/sub.class1.server.ca.pem
然后把ca.pem/sub.class1.server.ca.pem/ssl.crt三个证书合并:

代码: 全选

cat sub.class1.server.ca.pem >> ssl.crt
cat ca.pem >> ssl.crt
重启nginx:

代码: 全选

service nginx restart
回到Firefox中,刷新,OK,收工,地址栏认证框为蓝色:
附件
ff.jpg
回复

回到 “服务器基础应用”