Problema de renovação do certificado SSL do Atlassian Stash

Navegue suas respostas
0

Portanto, temos uma versão auto-hospedada do Atlassian BitBucket rodando no servidor Ubuntu que contém o repositório de código. Nós usamos um certificado SSL da DigiCert. Todos os anos renovamos o certificado que nunca causou problemas. No entanto, desta vez, a maioria dos desenvolvedores está recebendo o seguinte erro ao pressionar e extrair o código do GIT após a renovação do certificado

fatal: não é possível acessar: problema de certificado SSL: não é possível obter certificado de emissor local

Todas as pesquisas on-line apontam para esse erro quando você usa um certificado PKI interno ou auto-assinado. Estamos totalmente perplexos com o fato de um certificado emitido por uma autoridade pública como a DigiCert estar recebendo esse erro. Qualquer ajuda sobre isso seria muito apreciada.

    
por Jai 08.05.2018 / 05:30

1 resposta

1

Autoridades de certificação públicas não emitem certificados diretamente de sua raiz, mas sim através de um certificado intermediário (por motivos administrativos e de segurança).

Semosintermediários,éimpossívelfazerolinkentreocertificadoeoDigiCert.Issosignificaque,paraverificarocertificadodoservidor,nãobastaconfiarapenasnosclientes-raizdoDigiCert,alémdeobtertodososintermediáriosnacadeia..

OsnavegadoresdaWebpodemfazê-lodeváriasmaneiras:elespodembuscarcertificadosdaURLAIAarmazenadaemseucertificadodeservidor,eelespodemarmazenaremcacheemissoresintermediáriosvistosanteriormente,entãováriasconfiguraçõesincompletasaparecemparafuncionarbem"quando visitado através de um navegador.

Mas barebones clientes TLS não são tão flexíveis (quer dizer, eles não podem fazer solicitações HTTP extras, nem esperar ter um cache gravável) e então os certificados intermediários devem ser fornecidos pelo próprio servidor TLS .

  • Se o servidor da Web usar um único arquivo PEM (.crt), esse arquivo precisará ter os certificados intermediários corretos anexados a ele.

    Se o DigiCert enviou-lhe um .zip com o certificado por e-mail, um dos arquivos incluídos é o certificado intermediário e você pode concatenar ambos os arquivos usando cat ou um editor de texto. (O certificado do servidor sempre é o primeiro, o emissor direto é o próximo, e assim por diante. O Root iria até o final, mas é redundante aqui, portanto, não o inclua.)

  • Se o servidor da Web desejar um arquivo PKCS # 12, você fez esse arquivo com openssl export , exporte-o novamente e especifique os intermediários usando a opção -CAfile do OpenSSL. (Como alternativa, atribua a combinação .crt como -cert .)

  • Se o servidor da Web usar um armazenamento de chaves Java, keytool -importcert poderá funcionar? (Versões recentes do Java suportam e realmente preferem usar diretamente os arquivos PKCS # 12 como keystores, então isso pode ser redundante. Honestamente, eu não tenho ideia.)

Verifique sua configuração usando SSL-Tools ou Qualys SSL Labs . Apenas abrir o site com um navegador da web não é um bom teste, devido ao que eu já mencionei.

    
por 08.05.2018 / 06:41

Tags

A função Excel SUM não funciona quando eu uso a função IF para obter resultados Windows Metro Apps lauch executável