Как настроить ssl сертификат для https?

Question

[koliane]

Установил ssl сертификат Let's Encrypt к себе на сервер vps на Centos 7 через certbot,
но при открытии сайта, при клике на сообщение (рядом с адресной строкой) "Не защищено", выдается сообщение "Нет доверия к этому корневому сертификату центра сертификации, так как он не найден в хранилище доверенных корневых сертификатов центров сертификации."

Подскажите, что нужно еще сделать, чтобы соединение считалось "защищенным"?

Answer 1

[shurshur]

Убедиться, что используется fullchain, а не только конечный сертификат. Довольно типичная ошибка, кстати.

Comments

[koliane]

Насколько я понимаю, fullchain используется.
В файле httpd\conf.d\ssl.conf прописано SSLCertificateChainFile /etc/letsencrypt/live/www.icrab.pro/fullchain.pem

[shurshur]

Ну не знаю, по-хорошему должно быть так:



Всё это на клиенте проверяется, если что, на сервере не нужно корневого сертификата добавлять, его там вполне легально может и не быть.

[koliane]

На клиенте цепочка не отображается, видимо отсюда и ошибка

[Руслан Федосеев]

после установки сертификата апач рестартовали?

[shurshur]

koliane, что такое icrab?

[koliane]

shurshur, создавал сертификат через certbot, домен у меня icrab.pro, т.е. это автоматически certbot сгенерировал такое

[koliane]

Руслан Федосеев, да, неоднократно

[shurshur]

koliane, довольно странно, домен должен показываться полностью даже в эксплорере, насколько помню...

Посмотрел, сейчас там всё хреново:

$ openssl s_client -connect icrab.pro:443 -showcerts|grep -E ' s:| i:'
depth=0 C = --, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = SomeOrganizationalUnit, CN = icrab, emailAddress = root@icrab
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = --, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = SomeOrganizationalUnit, CN = icrab, emailAddress = root@icrab
verify error:num=21:unable to verify the first certificate
verify return:1
 0 s:/C=--/ST=SomeState/L=SomeCity/O=SomeOrganization/OU=SomeOrganizationalUnit/CN=icrab/emailAddress=root@icrab
   i:/C=--/ST=SomeState/L=SomeCity/O=SomeOrganization/OU=SomeOrganizationalUnit/CN=icrab/emailAddress=root@icrab
 1 s:/CN=www.icrab.pro
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 2 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3

Надо убрать первый сертификат из fullchain и всё должно заработать. Как он там вообще оказался?

[koliane]

shurshur, вы навели на мысль, что лучше все сертификаты переустановить) Теперь работает
Спасибо!

Answer 2

[Руслан Федосеев]

прочитать документацию до конца.

Answer 3

[CityCat4]

Добавить корневой от LE в хранилище корневых, естественно. Странно, конечно что его там нет. Либо, если корневой есть, а нет промежуточного (что бывает) - добавить промежуточный.

Comments

[koliane]

Взял сертификат отсюда: https://letsencrypt.org/ru/certificates/ подраздел "Корневые сертификаты" active
Добавил на сервере сюда: /etc/pki/ca-trust/source/anchors/root_letsenctypt.pem
Обновил доверенные сертификаты командой update-ca-trust extract
Перезагрузил апач apachectl restart
Но не сработало(