No momento, estamos enfrentando um problema com a verificação de um certificado Comodo SSL em um cluster do Ubuntu AWS. Os navegadores estão exibindo o site / conteúdo bem e mostrando todas as informações de certificado relevantes (pelo menos, todas as que verificamos), mas alguns proxies de rede e verificadores de SSL on-line estão mostrando que temos uma cadeia incompleta.
Nós tentamos o seguinte para tentar resolver isso:
- Atualizou haproxy para o mais recente 1.5.3
- Criado um arquivo ".pem" concatenado contendo todo o certificado (site, intermediário, com / sem raiz)
- Adicionamos um atributo "ca-file" explícito à linha "bind" em nosso arquivo haproxy.cfg.
O arquivo ".pem" verifica OK usando o openssl. Os diversos certificados intermediários e raiz são instalados e exibidos em / etc / ssl / certs. Mas as verificações ainda voltam com uma cadeia incompleta.
Alguém pode aconselhar sobre qualquer outra coisa que possamos verificar ou qualquer outra alteração que possamos fazer para tentar corrigir isso?
Muito obrigado antecipadamente ...
UPDATE : A única linha relevante do haproxy.cfg (eu acredito), é esta:
bind *:443 ssl crt /etc/ssl/domainaname.com.pem
UPDATE 2 : saída de openssl s_client
CONNECTED(00000003)
depth=0 OU = Domain Control Validated, OU = COMODO SSL, CN = www.domainname.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 OU = Domain Control Validated, OU = COMODO SSL, CN = www.domainname.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 OU = Domain Control Validated, OU = COMODO SSL, CN = www.domainname.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/OU=Domain Control Validated/OU=COMODO SSL/CN=www.domainname.com
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO SSL CA
A seguir, o conteúdo de www.domainname.com.pem
(sendo referenciado na configuração haproxy).
Bag Attributes
localKeyID: 01 00 00 00
friendlyName: www.domainname.com
subject=/OU=Domain Control Validated/OU=COMODO SSL/CN=www.domainname.com
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO SSL CA
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
-----BEGIN INTERMEDIATE CERTIFICATE-----
[...]
-----END INTERMEDIATE CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
[...]
-----END RSA PRIVATE KEY-----