Снимаю все обвинения с nginx - у меня оказывается вылез
известный баг FF, когда ему не нравилось как работают некие
ajax-скрипты на странице и он считал что данные получены по несекурному
каналу и снимал знак ssl в адресной строке. Весь мозг сломал пока
докопался до истины.<br>
<a href="https://bugzilla.mozilla.org/show_bug.cgi?id=477118">https://bugzilla.mozilla.org/show_bug.cgi?id=477118</a><br>
<br>
Антон.<br>
<br clear="all"><br><br><div class="gmail_quote">2009/8/23 Igor Sysoev <span dir="ltr">&lt;<a href="mailto:is@rambler-co.ru">is@rambler-co.ru</a>&gt;</span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im">On Sat, Aug 22, 2009 at 10:50:36AM +0200, Anton Kuznetsov wrote:<br>
<br>
&gt; Игорь, огромное спасибо за это письмо, я-то все это время мучался - не знал<br>
&gt; как устроить дебаг-проверку ssl-соединению.<br>
&gt;<br>
&gt; На своего хомяка цепочку приклеил, так правильно конечно, но это ладно...<br>
<br>
</div>Теперь работает.<br>
<div class="im"><br>
&gt; С <a href="http://app.inntelligenz.com" target="_blank">app.inntelligenz.com</a> ситуация дома странная, из 4 броузеров - safari &amp;<br>
&gt; chrome признали, а IE8 &amp; FF3.5 - по прежнему ругаются. Я им почистил уже все<br>
&gt; что мог и профиль новый и все равно никак... Ну ладно, надеюсь это уже мои<br>
&gt; локальные проблемы, а nginx свое дело делает правильно...<br>
<br>
</div>Как именно ругаются - вообще не дают зайти на сайт ?<br>
<br>
С новым профилем как раз больше вероятность не зайти - это нужно<br>
использовать, чтобы убедиться, что цепочка правильная.<br>
<div><div></div><div class="h5"><br>
&gt; Антон.<br>
&gt;<br>
&gt; 2009/8/22 Igor Sysoev &lt;<a href="mailto:is@rambler-co.ru">is@rambler-co.ru</a>&gt;<br>
&gt;<br>
&gt; &gt; On Sat, Aug 22, 2009 at 03:23:31AM +0200, Anton Kuznetsov wrote:<br>
&gt; &gt;<br>
&gt; &gt; &gt; Ну с порядком сложно ошибиться. К основному я приклеил промежуточные. Их<br>
&gt; &gt; там<br>
&gt; &gt; &gt; три.<br>
&gt; &gt; &gt; Обе конторы свои промежуточные конечно присылают вместе с основным - это<br>
&gt; &gt; не<br>
&gt; &gt; &gt; проблема.<br>
&gt; &gt; &gt; С глобе все работает. Интересно что делать с godaddy? Вроде как на апаче<br>
&gt; &gt; &gt; работает, где промежуточные прописываешь отдельной строчкой, в чем трабла<br>
&gt; &gt; на<br>
&gt; &gt; &gt; nginx?<br>
&gt; &gt; &gt; Сейчас, когда он работает со склееными сертификатами в один файл, то wget<br>
&gt; &gt; &gt; ругается на них так:<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; $wget &quot;<a href="https://app.inntelligenz.com/sign" target="_blank">https://app.inntelligenz.com/sign</a>&quot;<br>
&gt; &gt; &gt; --2009-08-22 05:22:19--  <a href="https://app.inntelligenz.com/sign" target="_blank">https://app.inntelligenz.com/sign</a><br>
&gt; &gt; &gt; Распознаётся app.inntelligenz.com... 174.129.210.211<br>
&gt; &gt; &gt; Устанавливается соединение с <a href="http://app.inntelligenz.com" target="_blank">app.inntelligenz.com</a><br>
&gt; &gt; |174.129.210.211|:443...<br>
&gt; &gt; &gt; соединение установлено.<br>
&gt; &gt; &gt; ОШИБКА: невозможно проверить сертификат <a href="http://app.inntelligenz.com" target="_blank">app.inntelligenz.com</a>,<br>
&gt; &gt; запрошенный<br>
&gt; &gt; &gt; `/C=US<br>
&gt; &gt; &gt; /ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=<br>
&gt; &gt; &gt; <a href="http://certificates.godaddy.com/" target="_blank">http://certificates.godaddy.com/</a><br>
&gt; &gt; &gt; repository/CN=Go Daddy Secure Certification<br>
&gt; &gt; &gt; Authority/serialNumber=07969287&#39;:<br>
&gt; &gt; &gt;   Обнаружен самостоятельно подписанный сертификат.<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; Как-то странно все это...<br>
&gt; &gt;<br>
&gt; &gt; Потому что wget должен знать про эти серфтификаты.<br>
&gt; &gt;<br>
&gt; &gt; Сейчас &quot;openssl s_client -connect <a href="http://app.inntelligenz.com:443" target="_blank">app.inntelligenz.com:443</a>&quot; выдаёт такую<br>
&gt; &gt; цепочку сертификатов:<br>
&gt; &gt;<br>
&gt; &gt; Certificate chain<br>
&gt; &gt;  0 s:/O=<a href="http://app.inntelligenz.com/OU=Domain" target="_blank">app.inntelligenz.com/OU=Domain</a> Control Validated/CN=<br>
&gt; &gt; <a href="http://app.inntelligenz.com" target="_blank">app.inntelligenz.com</a><br>
&gt; &gt;   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=<br>
&gt; &gt; <a href="http://certificates.godaddy.com/repository/CN=Go" target="_blank">http://certificates.godaddy.com/repository/CN=Go</a> Daddy Secure<br>
&gt; &gt; Certification Authority/serialNumber=07969287<br>
&gt; &gt;  1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=<br>
&gt; &gt; <a href="http://certificates.godaddy.com/repository/CN=Go" target="_blank">http://certificates.godaddy.com/repository/CN=Go</a> Daddy Secure<br>
&gt; &gt; Certification Authority/serialNumber=07969287<br>
&gt; &gt;   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification<br>
&gt; &gt; Authority<br>
&gt; &gt;  2 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification<br>
&gt; &gt; Authority<br>
&gt; &gt;   i:/L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2<br>
&gt; &gt; Policy Validation Authority/CN=<br>
&gt; &gt; <a href="http://www.valicert.com//emailAddress=info@valicert.com" target="_blank">http://www.valicert.com//emailAddress=info@valicert.com</a><br>
&gt; &gt;  3 s:/L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2<br>
&gt; &gt; Policy Validation Authority/CN=<br>
&gt; &gt; <a href="http://www.valicert.com//emailAddress=info@valicert.com" target="_blank">http://www.valicert.com//emailAddress=info@valicert.com</a><br>
&gt; &gt;   i:/L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2<br>
&gt; &gt; Policy Validation Authority/CN=<br>
&gt; &gt; <a href="http://www.valicert.com//emailAddress=info@valicert.com" target="_blank">http://www.valicert.com//emailAddress=info@valicert.com</a><br>
&gt; &gt;<br>
&gt; &gt; У firefox 3.0.13 с чистым профайлом есть второй сертификат<br>
&gt; &gt; &quot;/C=US/O=The Go Daddy Group, Inc./....&quot;. Поэтому доверяет он этой цепочке<br>
&gt; &gt; и запоминает первый сертификат<br>
&gt; &gt; &quot;C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./...&quot;.<br>
&gt; &gt;<br>
&gt; &gt; &quot;openssl s_client -connect <a href="http://arjlover.net:443" target="_blank">arjlover.net:443</a>&quot; сейчас выдаёт единственный<br>
&gt; &gt; сертификат:<br>
&gt; &gt;<br>
&gt; &gt; Certificate chain<br>
&gt; &gt;  0 s:/OU=Domain Control Validated/OU=Provided by Globe Hosting,<br>
&gt; &gt; Inc./OU=Globe Standard SSL/CN=<a href="http://arjlover.net" target="_blank">arjlover.net</a><br>
&gt; &gt;   i:/C=RO/O=GLOBE HOSTING CERTIFICATION AUTHORITY/CN=GLOBE SSL Domain<br>
&gt; &gt; Validated CA<br>
&gt; &gt;<br>
&gt; &gt; который не нравится чистому firefox&#39;у, потому что у него нет<br>
&gt; &gt; &quot;/C=RO/O=GLOBE HOSTING CERTIFICATION AUTHORITY/...&quot;. Однако если зайти<br>
&gt; &gt; на <a href="http://globessl.com" target="_blank">http://globessl.com</a>, то это серфтикат появится и после этого<br>
&gt; &gt; <a href="https://arjlover.net" target="_blank">https://arjlover.net</a> начинает работать.<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; &gt; Антон.<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; 2009/8/21 Igor Sysoev &lt;<a href="mailto:is@rambler-co.ru">is@rambler-co.ru</a>&gt;<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; On Fri, Aug 21, 2009 at 09:27:44PM +0400, Igor Sysoev wrote:<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; On Fri, Aug 21, 2009 at 06:45:23PM +0200, Anton Kuznetsov wrote:<br>
&gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; &gt; В первый раз ставлю честный купленный сертификат, в большом<br>
&gt; &gt; недоумении<br>
&gt; &gt; &gt; &gt; от<br>
&gt; &gt; &gt; &gt; &gt; &gt; результатов.<br>
&gt; &gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; &gt; Купил первый на пробу от <a href="http://globessl.com" target="_blank">globessl.com</a><br>
&gt; &gt; &gt; &gt; &gt; &gt; поставил на хомяка <a href="https://arjlover.net" target="_blank">https://arjlover.net</a> - почти везде работает,<br>
&gt; &gt; хотя у<br>
&gt; &gt; &gt; &gt; меня<br>
&gt; &gt; &gt; &gt; &gt; &gt; на работе не проходит в любом броузере.<br>
&gt; &gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; &gt; Сделал по инструкции от globe:<br>
&gt; &gt; &gt; &gt; &gt; &gt; #openssl req -nodes -newkey rsa:2048 -keyout myserver.key -out<br>
&gt; &gt; &gt; &gt; server.csr<br>
&gt; &gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; &gt; в конфиг nginx написал так:<br>
&gt; &gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; &gt; ssl                     on;<br>
&gt; &gt; &gt; &gt; &gt; &gt; ssl_protocols           SSLv3 TLSv1;<br>
&gt; &gt; &gt; &gt; &gt; &gt; ssl_certificate      /usr/local/etc/nginx/ssl/arjlover_net.crt;<br>
&gt; &gt; &gt; &gt; &gt; &gt; ssl_certificate_key  /usr/local/etc/nginx/ssl/myserver.key;<br>
&gt; &gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; &gt; Ну вроде завелось...  nginx version: nginx/0.8.5 FreeBSD 6.3<br>
&gt; &gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; &gt; ===============<br>
&gt; &gt; &gt; &gt; &gt; &gt; Теперь делаю для апликухи<br>
&gt; &gt; &gt; &gt; &gt; &gt; <a href="https://app.inntelligenz.com/sign" target="_blank">https://app.inntelligenz.com/sign</a><br>
&gt; &gt; &gt; &gt; &gt; &gt; Все аналогично, купить решил у <a href="http://godaddy.com" target="_blank">godaddy.com</a>, сделал сертификаты, те<br>
&gt; &gt; же<br>
&gt; &gt; &gt; &gt; &gt; &gt; строчки в nginx и... не работает!!! Хотя вчера вечером дома у меня<br>
&gt; &gt; одна<br>
&gt; &gt; &gt; &gt; &gt; &gt; страница открылась с валидным сертификатом и так и закэшировалась.<br>
&gt; &gt; &gt; &gt; Остальные<br>
&gt; &gt; &gt; &gt; &gt; &gt; урлы ругаются. Смех! nginx version: nginx/0.8.6 Ubuntu<br>
&gt; &gt; &gt; &gt; &gt; &gt; Что делать, куда копать?<br>
&gt; &gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; &gt; Еще один побочный вопрос - что это за файл gd_bundle.crt?<br>
&gt; &gt; Прописывается<br>
&gt; &gt; &gt; &gt; в<br>
&gt; &gt; &gt; &gt; &gt; &gt; апач строчкой<br>
&gt; &gt; &gt; &gt; &gt; &gt; SSLCertificateChainFile /ssl/gd_bundle.crt<br>
&gt; &gt; &gt; &gt; &gt; &gt; Почему аналогичной строчки нет у nginx?<br>
&gt; &gt; &gt; &gt; &gt; &gt; Если я все это поднимаю на апаче вот так:<br>
&gt; &gt; &gt; &gt; &gt; &gt; SSLCertificateFile /ssl/app.inntelligenz.com.crt<br>
&gt; &gt; &gt; &gt; &gt; &gt; SSLCertificateKeyFile /ssl/myserver.key<br>
&gt; &gt; &gt; &gt; &gt; &gt; SSLCertificateChainFile /ssl/gd_bundle.crt<br>
&gt; &gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; &gt; То верификация работает!!! Но надо на nginx...<br>
&gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; gd_bundle.crt - это не побочный вопрос, а основной. Нужно сделать<br>
&gt; &gt; так:<br>
&gt; &gt; &gt; &gt; &gt; cat app.inntelligenz.com.crt gd_bundle.crt &gt;<br>
&gt; &gt; app.inntelligenz.com.full<br>
&gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; и использовать получённую цепочку сертификатов:<br>
&gt; &gt; &gt; &gt; &gt; ssl_certificate<br>
&gt; &gt;  /usr/local/etc/nginx/ssl/app.inntelligenz.com.full<br>
&gt; &gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; &gt; То же самое нужно повторить с <a href="http://globessl.com" target="_blank">globessl.com</a> - добавить их<br>
&gt; &gt; промежуточные<br>
&gt; &gt; &gt; &gt; &gt; сертификаты к основному. Тогда должно работать со всеми браузерами.<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; Вот тут берутся промежуточные сертификаты <a href="http://globessl.com" target="_blank">globessl.com</a>:<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; <a href="http://customer.globessl.com/knowledgebase/48/GlobeSSL_CA_Root_and_Intermediate_Certificates.html" target="_blank">http://customer.globessl.com/knowledgebase/48/GlobeSSL_CA_Root_and_Intermediate_Certificates.html</a><br>

&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; --<br>
&gt; &gt; &gt; &gt; Игорь Сысоев<br>
&gt; &gt; &gt; &gt; <a href="http://sysoev.ru" target="_blank">http://sysoev.ru</a><br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; --<br>
&gt; &gt; Игорь Сысоев<br>
&gt; &gt; <a href="http://sysoev.ru" target="_blank">http://sysoev.ru</a><br>
&gt; &gt;<br>
&gt; &gt;<br>
<br>
</div></div>--<br>
<div><div></div><div class="h5">Игорь Сысоев<br>
<a href="http://sysoev.ru" target="_blank">http://sysoev.ru</a><br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Best regards,<br>Anton Kuznetsov.       <br>