我的网站拥有Godaddy的有效通配证书。当我在浏览器中查看它时,我获得了一个有效的安全证书(绿色挂锁),当我在浏览器中检查证书时,它表示安全并由godaddy签名,一切正常。
但是,如果我使用openssl s_client -connect my.site.com:443
我获得了自签名证书:
issuer = / C = AU / ST = Some-State / O = Internet Widgits Pty Ltd
我不明白为什么会这样。我的一些用户似乎存在一个问题,他们的浏览器中存在ssl自签名错误,我认为这与它有关。
我正在使用带有apache2的Ubuntu 11.04。任何想法为什么会这样,或者我如何进一步研究这个问题?
答案 0 :(得分:0)
OpenSSL的一般问题是它没有预先配置一组受信任的CA证书(与您的浏览器不同)。 You need to specify it with -CApath or -CAfile
您的用户可能面临的另一个常见问题是您可能缺少中间CA证书。您的服务器提供的证书链(您确实可以使用openssl s_client检查,如果您需要完整的详细信息,可以使用-showcerts)需要以正确的顺序显示,从主机证书到根CA(排除根CA,虽然我在实践中注意到它没有坏处,因此一个证书的颁发者DN是下一个证书的主题DN(直到颁发者DN是您的一个可信CA的主题DN)