Я знаю, что эта ветка немного устарела, но мы тоже столкнулись с этим и заархивируем наше возможное решение здесь для других.
У нас была такая же проблема с подстановочным знаком Comodo «положительный ssl» сертификат. Мы запускаем наш веб-сайт с использованием обратного SSL-прокси-сервера squid, и Firefox будет продолжать жаловаться на «sec_error_unknown_issuer», как вы сказали, но все остальные браузеры были в порядке.
Я обнаружил, что это проблема неполной цепочки сертификатов. Firefox, по-видимому, не имеет встроенного промежуточного сертификата, хотя Firefox доверяет корневому ЦС. Поэтому вы должны предоставить всю цепочку сертификатов Firefox. Служба поддержки Comodo заявляет:
Промежуточный сертификат — это сертификат или сертификаты, которые идут между сертификатом вашего сайта (сервера) и корневым сертификатом. Промежуточный сертификат или сертификаты завершают цепочку до корневого сертификата, которому доверяет браузер.
Использование промежуточного сертификата означает, что вы должны выполнить дополнительный шаг в процессе установки, чтобы ваш сертификат сайта был привязан к доверенному корню и не отображал ошибки в браузере, когда кто-то посещает ваш веб-сайт.
Это уже упоминалось ранее в этой теме, но не было указано, как это сделать.
Сначала вам нужно создать цепочку сертификатов, и вы делаете это с помощью своего любимого текстового редактора и просто вставляете их в правильном (обратном) порядке, т.е.
- Промежуточный сертификат ЦС 2 — IntermediateCA2.crt — поверх файла
- Сертификат промежуточного ЦС 1 — IntermediateCA1.crt
- Сертификат корневого ЦС — root.crt — в конце файла
Точный порядок вы можете получить у своего провайдера ssl, если это не очевидно из имен.
Затем сохраните файл под любым именем, которое вам нравится. Например. yourdomain-chain-bundle.crt
В этом примере я не включил фактический сертификат домена, и пока ваш сервер может быть настроен на получение отдельного связанного пакета сертификатов, это то, что вы используете.
Больше данных можно найти здесь:
https://support.comodo.com/index.php?/Knowledgebase/Article/View/643/0/how-do-i-make-my-own-bundle-file-from-crt-файлы
Если по какой-то причине вы не можете настроить свой сервер для использования отдельного связанного пакета, вы просто вставляете свой сертификат сервера в начало (сверху) пакета и используете полученный файл в качестве сертификата сервера. Это то, что нужно сделать, например, в случае Squid. См. ниже список рассылки squid по этому вопросу.
http://www.squid-cache.org/mail-archive/squid-users/201109/0037.html
Это решило это для нас.
person
leancode
schedule
14.06.2014