无法使用内置CA包验证GoDaddy SHA2 SSL证书
我遇到了一个有趣的问题。我们有一个与LTL托运人(https://facts.dohrn.com/)联系的PHP脚本。该脚本一直失败,因为它无法验证SSL证书。我去了这个网站,发现他们使用的是GoDaddy SHA2证书(使用GoDaddy证书绑定-证书绑定,这是SHA2所用的)。
我已经安装了最新版本的ca-certificate,看起来他们已经拥有“去爸爸根证书颁发机构”-- G2 --但是这不是一回事,在所有形式的验证中都失败了。我最终能够通过复制包并在CURL请求中直接使用该包来使其工作。但这只是一个解决办法。还有什么东西是我遗漏的,可以使这个工作,而不直接安装CA?
openssl s_client -connect facts.dohrn.com:443 CONNECTED(00000003) depth=0 OU =域控制验证,CN = facts.dohrn.com verify error:num=20:unable以获得本地颁发者证书验证返回:1 depth=0 OU =域控制验证,CN = facts.dohrn.com verify error:num=27:certificate不可信验证返回:1 depth=0 OU =域控件验证,CN =验证第一个证书验证返回:1 --证书链0 S:/OU=域控制验证/CN= facts.dohrn.com issuer=/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=
http://certs.godaddy.com/repository//CN=Go爸爸Secure证书颁发机构- G2 -服务器证书证书被删除 -终端证书公司/OU=http://certs.godaddy.com/repository//CN=Go Secure证书颁发机构-- G2 --无客户证书CA名称sent -- SSL握手已读取1470字节并写入了563 bytes --新的,TLSv1 1/SSL 3,密码是RC4- Server公钥是2048位安全重新协商不支持压缩:无扩展:无SSL-会话:协议: TLSv1密码: RC4-SHA会话-ID:主密钥: F6C9C6345A09B7965AF762DE4BEFE8BDD249136BF30D9364598D78CF123F17230B0C25DD552F103BEF9A893F75EAD2B0密钥-Arg: None Krb5主键: None Krb5标识: None PSK标识提示: None启动时间:1432044402堆栈新线超时: 300 (秒)验证返回代码: 21 (无法验证第一个证书)
回答 1
Server Fault用户
发布于 2015-05-19 17:11:29
https://facts.dohrn.com/上的web服务器似乎不包括中间证书。
这似乎是他们的配置错误。它肯定会导致兼容性问题,因为您实际上应该只依赖于客户端预先设置了根证书。
请参阅证书链(如来自SSLLabs结果:(您还将注意到它们的SSL设置还有许多其他问题)。
1 Sent by server facts.dohrn.com
Fingerprint: 823e3a70f194c646498b2591069b3727ad0014d9
RSA 2048 bits (e 65537) / SHA256withRSA
2 Extra download Go Daddy Secure Certificate Authority - G2
Fingerprint: 27ac9369faf25207bb2627cefaccbe4ef9c319b8
RSA 2048 bits (e 65537) / SHA256withRSA
3 In trust store Go Daddy Root Certificate Authority - G2 Self-signed
Fingerprint: 47beabc922eae80e78783462a79f45c254fde68b
RSA 2048 bits (e 65537) / SHA256withRSA我要说的是,您的主要选择是要么试图说服服务提供者修复他们的服务,要么通过向客户端提供他们的服务器应该提供的证书来解决问题。
https://serverfault.com/questions/693033
复制相似问题
腾讯云开发者
