Как правильно перенести SSL сертификат на новый сервер?

Question

[axeax]

Перенёс SSL сертификат Thawte на новый физический сервер. IP соответственно тоже сменился. Вместе с сертификатом перенёс файлы .crs и .key. На сервере стоит только nginx. После переноса всего этого добра firefox под XP не хочет дружить с сайтом, пишет что соединение является недоверенным. В других браузерах всё ок. Какие ещё операции нужно проделать на сервере, чтобы сертификат заработал везде нормально?
Сертификат заказывал в 2domains. Когда переехал на новый серв, сказали просто файлы перенести, перевыпускать сертификат и генерить новые ключи не нужно.

Comments

[Василий]

csr или crt файл?

Answer 1

[Василий]

Все должно быть хорошо. Возможно в сертификате отсутствует сертификат промеждуточного CA либо не сброшен кэш предидущей SSL сессии.

Answer 2

[Василий]

Еще причина - отсутствие поддержки SNI. Проверьте работу в IE на WinXP - если работает то все ок. Иначе если это критично чтобы работало по WinXP в IE и старом огнелисе, то один IP - один домен (без SNI). Можно попробывать обновить огнелис и убедиться что включен TLS

Answer 3

[axeax]

Никакого кэша точно нет. Специально голую винду поставил проверить
И crt и crs.
А что с промежуточным? Знаю что гдето его выпускают, но у меня в панели есть только мой и корневой. Обращаться туда чтобы выпустили промежуточный?

Comments

[Василий]

Проверьте теорию о SNI. А промежуточный добавляется в ваш crt файл. Он уже выпущен и является вашем промежуточным CA, потом идет еще один или корневой доверенный CA.

Answer 4

[axeax]

@VasiliyIsaichkin Критично чтобы работало впринципе, т.к. незнаю в каких ещё браузерах может быть проблема, надо решать на уровне сервера. Не буду же заставлять пользователей обновиться...
firefox стоит 27. В 6 осле работает.

Comments

[Василий]

Опа, значит не SNI. Пропробуйте выковырять промеждуточный сертификат в формате PEM и записать в ваш crt
cat intermediate_certificate.pem >> your_cert.crt

[Василий]

А чего лис пишет конкретно?

[Василий]

А огнелис ваш корневой CA вообще знает? Проблема только на WinXP?

[axeax]

Ну вот в семёрке лис тоже говорит что недоверенное соединение. Thawte в лисе стоит.

[Василий]

А фронтэнд сервер какой? Какой конфиг? Попробуйте добавить все же промежуточный CA (а он есть вобще? какой путь выдачи?) Чего огнелис говорит? Никаких деталей почему недоверенное?

[axeax]

ubuntu 12.04, nginx 1.1.19, апача нет.
Конфиг nginx самый стандартный
server {
listen 80;
listen 443 ssl;
root /path/to/www;
index index.html index.htm;
server_name domain.ru www.domain.ru;
ssl_certificate domain.crt;
ssl_certificate_key domain.key;
location / {
try_files $uri $uri/ /index.html;
}
}
domain.ru использует недействительный сертификат безопасности. К сертификату нет доверия, так как отсутствует цепочка сертификатов издателя. (Код ошибки: sec_error_unknown_issuer)

[Василий]

Ну так чего сразу не написали то что ", так как отсутствует цепочка сертификатов издателя." !? Нет в сертификате сертификата промеждуточного CA вот и все. Добавляйте в crt файл и будет вам счастье.

[axeax]

Да я лалка сразу не сообразил =(. Можно как для чайника?
имеется .crt (который включен в конфиге) с содержанием
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
и в панели "Корневой сертификат" с содержанием
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
что куда добавлять?

[axeax]

Всё, слава я**, разобрался, заработало =) Спасибо вам большое!