Adquiri o COMODO Positive SSL Wildcard há dois dias e tenho trabalhado muito para que ele funcione com o meu Nginx. Mas eu não sei porque não funciona. Aqui está o que eu faço.
1. Criando uma chave privada no meu servidor
Eu criei meu arquivo example_com.csr e example_com.key no meu servidor com este comando
openssl req -new -newkey rsa:2048 -nodes -keyout example_com.key -out example_com.csr
Esses arquivos são armazenados em /etc/ssl
2. Enviando meu example_com.csr para COMODO
Depois que eu enviei meu arquivo csr e verifiquei o nome do meu domínio, recebi 3 arquivos da seguinte forma:
ssl_1540054330.ca-bundle
ssl_1540054330.crt
ssl_1540054330.key
Eu coloco os conteúdos ssl_1540054330.crt e ssl_1540054330.ca-bundle juntos para um arquivo completo chamado ssl_1540054330-bundle-full.crt
3. Adicionando ao Nginx
Eu carreguei ssl_1540054330-bundle-full.crt para / etc / ssl 'e adicionei ao Nginx por essa configuração
server
{
listen 80;
listen 443 ssl;
server_name subdomain.example.com;
# SSL
ssl_certificate /etc/ssl/ssl_1540054330-bundle-full.crt;
ssl_certificate_key /etc/ssl/example_com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'EECDH+AES128:EECDH+AES256:+SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RSA+3DES:!DSS';
Depois disso, eu verifico a configuração do Nginx executando nginx -t e a saída é
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
E o comando systemctl restart nginx está funcionando bem. Também desabilitei firewalld para garantir que minha 443 port também funcionasse
Infelizmente, isso não funciona, o Chrome diz "Este site não pode ser encontrado", eu testei com openssl no meu servidor com este comando
openssl s_client -connect subdomain.example.com:443
E a saída é
CONNECTED(00000003)
140363396503456:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 289 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
Krb5 Principal: None
PSK identity: None
PSK identity hint: None
Start Time: 1540084821
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
Eu estive pesquisando em dois dias e tentei corrigir isso, mas não encontrei nenhuma solução, então peço aqui, espero que alguém possa ajudar.
Estas são as informações do meu servidor em detalhes
Informações do Nginx
root@vnf ~]# nginx -V
nginx version: nginx/1.14.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)
built with OpenSSL 1.0.2k-fips 26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'
Minhas informações do OpenSSL
[root@vnf ~]# openssl version
OpenSSL 1.0.2k-fips 26 Jan 2017
Minha versão do sistema operacional
[root@vnf ~]# cat /etc/centos-release
CentOS Linux release 7.4.1708 (Core)
Alguma ideia?