Como contornar a assinatura da Autoridade de Certificação Não Reconhecida no Domino 9.0.1 com o Go Daddy SSL?

Navegue suas respostas
1

Sou administrador de meio período, na melhor das hipóteses, só posso fazer essas coisas uma vez a cada dois ou três anos.

Estou reinstalando um servidor Linux que funcionava no 8.5.2. O certificado SSL é do GoDaddy. Eu criei o keyfile.kyr 1/2 dúzia de vezes sem sucesso. Seguindo as instruções na Ajuda do Administrador do Domino I

  1. crie o chaveiro
  2. crie uma solicitação para " um certificado de servidor SSL da CA "
  3. No site Go Daddy, acesso meus certificados SSL e uso a opção "Re-Key" para criar a solicitação com o algoritmo de assinatura SHA-2 e a organização emissora Go Daddy
  4. Em alguns minutos, o download está disponível e eu faço o download. Este download contém dois arquivos: gd_bundle-g2-g1.crt e 2b026decb857de.crt
  5. Em seguida, tento "mesclar o (s) certificado (s) de autoridade de certificação como uma raiz confiável no arquivo do conjunto de chaves do servidor." do arquivo gd_bundle-g2-g1.crt . Existem três certificados que têm níveis variados de sucesso ...

O primeiro certificado no arquivo é para o nome comum " Autoridade de Certificação Raiz do Go Daddy - G2 ". A tentativa de mesclar obtém o resultado: " A assinatura do certificado não corresponde ao conteúdo "

O segundo certificado no arquivo é para o nome comum " Autoridade de Certificação Segura do Go Daddy - G2 ". A tentativa de mesclar obtém o resultado: " Não foi possível encontrar o emissor do certificado entre as raízes confiáveis "

O terceiro certificado no arquivo é para o nome comum " Go Daddy Root ". A tentativa de mesclar é bem-sucedida.

Independentemente da ordem dessas atividades, os erros persistem nos dois primeiros.

Quando eu tento a próxima etapa de " Instalando o certificado no conjunto de chaves ", recebo a mensagem " Assinatura da autoridade de certificação não reconhecida ", que permite a opção de mesclar o certificado certificado de qualquer maneira. Mas usar o certificado mesclado dessa maneira resulta no site não ser verificado e o bloqueio SSL é substituído por um ponto de exclamação de exceção.

Eu experimentei vários dos outros arquivos .crt do Go Daddy disponíveis aqui: link sem mais sucesso .

Agradecemos antecipadamente por suas ideias sobre isso.

    
por Newbs 09.06.2014 / 00:15

2 respostas

4

o problema é que, quando você renovou o certificado, aceitou o método de criptografia padrão do SHA2, que ainda não é suportado corretamente. Necessário para mudar para SHA1. SHA1 costumava ser o padrão, mas foi alterado recentemente. Algo para estar ciente de ir em frente.

por padrão, godaddy agora emite certificados no novo formato mais alto. Você pode reemitir o certificado no godaday e escolher sha1.

    
por 10.06.2014 / 18:05
1

Antes de mais nada, você precisa determinar a ordem correta para a importação. O certificado raiz é o primeiro a importar usando o botão "Instalar certificado raiz confiável ...". Eu acho que o próximo tem que ser a raiz -G2 e por último mas não menos importante a segurança. Depois de instalar todas as raízes na ordem correta, você poderá instalar o certificado em si.

A razão para isso é o seguinte: Pense em certificados como uma cadeia. A regra para confiar em alguém é a seguinte: Eu só confio em você, se eu confiar em seu pai. O certificado "raiz" em si não tem pai (é por isso que é chamado de root). Você importa primeiro. Com este certificado raiz, outro certificado é emitido. Para importar o G2 você já deve confiar em seu pai .. E assim por diante. O mais difícil é descobrir "quem emitiu o quê" e importar na direção certa. Depois que a cadeia estiver completa, você poderá instalar o certificado em si.

    
por 09.06.2014 / 09:03

Tags

Como configurar um Cisco Catalyst 2960 para sincronizar com um servidor NTP Qual é o equivalente Linux da política de grupos do Windows?