Рейтинг:-1

Ubuntu

Корневой сертификат Ubuntu Focal не найден

Mike Fry

07.05.2023, 17:37

Моя компания выпустила собственные сертификаты выдачи и корневой подписи. У моего сервера есть сертификат ssl для apache. Я поместил корень и 4 выдающих сертификата в /etc/ssl/certs. Затем я запустил update-ca-certificates. Используя Chrome, я просматриваю сайт и получаю сообщение об ошибке проверки сертификата. Я выполнил эти шаги несколько раз без ошибок. Наша команда PKI подтверждает, что сертификат действителен. Что еще я должен проверить?

изображение

0 + 0

ssl

сертификаты

Рейтинг:1

Ubuntu

Steffen Ullrich

07.05.2023, 17:45

Chrome не использует сертификаты в /etc/ssl/сертификаты но поставляется с собственным корневым хранилищем CA в Linux. Поэтому вам нужно импортировать корневой ЦС в Chrome (управление сертификатами в настройках). То же самое с Firefox, который также использует собственное хранилище ЦС, не используемое совместно с Chrome.

0 + 0

Mike Fry

10.05.2023, 11:55

Спасибо. Я должен был упомянуть, что я импортировал корневой сертификат в Chrome. Я сравнил это, когда другой внутренний сайт защищен той же цепочкой, и это хорошо. Это говорит мне, что у Chrome правильный корневой сертификат. Чем больше я копаюсь в этом, это приводит к плохому сертификату.

Ответить

Steffen Ullrich

10.05.2023, 12:01

@MikeFry: проверьте, какой сертификат отображается в Chrome для этого сайта и показывает ли он цепочку доверия к импортированному вами ЦС. Если сертификат сервера является ожидаемым (тема проверки, срок действия - в идеале отпечаток пальца) и если цепочка доверия показана ожидаемому ЦС, то что-то еще не так, например, неправильное время на машине. Пожалуйста, проверьте (и предоставьте в своем вопросе) фактическое сообщение об ошибке, которое вы получаете в Chrome, а также подробности, показанные после перехода по ссылке на дополнительную информацию.

Ответить

Рейтинг:-1

Ubuntu

Tilman

07.05.2023, 17:51

Начните с проверки сведений об ошибке проверки сертификата. Это скажет вам, почему проверка не удалась. Продолжайте свое расследование оттуда. Например, если Chrome утверждает, что сертификат еще не действителен, проверьте настройки часов на всех задействованных компьютерах. Если Chrome говорит, что эмитент не является доверенным, проверьте, установлен ли корневой сертификат вашей компании. Если есть другая причина, другие проверки будут актуальны.

0 + 0

Thomas Ward

07.05.2023, 17:56

OP указывает, что они уже подтвердили, что сертификат действителен. Они используют /etc/ssl/certs, глобальное системное хранилище, которое Chrome и Firefox не используют в Linux. Это означает, что им нужно импортировать цепочку сертификатов CA в Chrome и Firefox, и это должно решить их проблемы (как указано в другом ответе)

Ответить

Tilman

07.05.2023, 18:00

Я не думаю, что вы правильно прочитали вопрос. OP указывает, что они поместили сертификат в `/etc/ssl/certs` на *сервере*, но ошибка проверки происходит на *клиенте*, поэтому ему нужно проверить, почему *клиент* утверждает, что сертификат недействителен, в то время как *сервер* гарантирует, что он действителен.

Ответить

Thomas Ward

07.05.2023, 18:03

если они являются пользовательским ЦС, как говорит OP («Моя компания выпустила собственные сертификаты выдачи и корневой подписи»), то сертификаты подписи для пользовательского ЦС по-прежнему необходимо импортировать в Chrome и Firefox независимо. Это по-прежнему остается данностью, несмотря ни на что. Пользовательские центры сертификации не принимаются автоматически. (Я знаю это по опыту, у меня есть собственный ЦС с НЕСКОЛЬКИМИ подписывающими и промежуточными сертификатами, и несколько групп, с которыми я работаю, тоже, решение — «Сначала импортировать эти ЦС в магазины Chrome и Firefox» — независимо от ситуации.)

Ответить

Tilman

07.05.2023, 18:06

Конечно. Но ОП также указывает, что это работало в предыдущих случаях, так что вполне возможно, что он уже это сделал. Поэтому, прежде чем делать поспешные выводы, он должен следовать надлежащей процедуре устранения неполадок, начиная с фактического просмотра сообщения об ошибке. Обратите внимание, что я уже назвал ваше решение одним из возможных результатов.Просто пока не уверен, что это действительно причина, исходя из информации в вопросе.

Ответить

Mike Fry

10.05.2023, 11:58

Пару лет назад, когда мы перешли на внутренний ЦС, я написал пакет Debian, который импортировал все необходимые сертификаты в магазин для Chrome и Firefox. Спасибо за все комментарии и предложения. Мы собираемся попробовать другой ЦС, предоставленный нам нашей командой PKI.

Ответить

Admin

Этот вопрос на других языках:

EN: Ubuntu Focal Root Certificate Not Found

TH: ไม่พบใบรับรองรูต Focal ของ Ubuntu

RO: Certificatul rădăcină focală Ubuntu nu a fost găsit

RU: Корневой сертификат Ubuntu Focal не найден

VI: Không tìm thấy chứng chỉ gốc tiêu điểm Ubuntu

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.