Od jakiegoś czasu można kupić w NetArcie certyfikaty SSL, a niedawno zrobili na nie promocję - 15zł za pierwszy rok (za certyfikat na jedną stronkę). Tzw. tanie i dobre. Po wyrobieniu certyfikatu i zapisaniu z panelu klienta mam pliczki: stonka.crt i netart_rootca.crt, które wrzucamy do Apachego, powiedzmy tak:
SSLCertificateFile /etc/ssl/certs/stonka.crt
SSLCertificateKeyFile /etc/ssl/private/priv.key
SSLCACertificateFile /etc/ssl/certs/netart_rootca.crt
Certyfikat działa w Chromie ale nie weryfikuje się w Firefoxie i Internet Explorerze. FF wyświetla błąd: sec_error_unknown_issuer - co oznacza brak certyfikatu wystawcy gdzieś w łańcuchu certyfikatów. W FAQ zero jak chodzi o konfigurację certyfikatów na serwerze poza NetArt’em…
Przeglądnąłem informacje certyfikatu rootca:
openssl x509 -in netart_rootca.crt -text -noout</pre>
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
46:53:b1:a6:1e:ba:2d:c7:a3:2e:f9:39:5a:4e:f8:8c
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=PL, O=Unizeto Technologies S.A., OU=Certum Certification Authority, CN=Certum Global Services CA
Validity
Not Before: Jul 6 10:31:40 2012 GMT
Not After : Jul 4 10:31:40 2022 GMT
Subject: C=PL, O=NetArt Sp\xC3\xB3\xC5\x82ka Akcyjna S.K.A., OU=http://nazwa.pl, CN=nazwaSSL
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:cc:91:f5:f7:01:09:4f:75:c8:09:c7:14:8f:e4:
1a:99:78:20:99:40:59:6f:10:2f:ff:fe:d0:10:ff:
06:a3:39:3d:c4:f1:4b:07:cf:22:39:20:80:43:50:
c1:af:b4:01:71:a0:a3:30:11:52:d3:d2:98:d9:c2:
69:f7:e3:00:d9:19:3f:3d:b3:3b:52:75:e3:d3:0c:
ab:ff:57:01:3a:83:5c:f5:02:bb:28:fe:90:38:8e:
a2:84:cf:61:48:e7:99:e0:72:24:b6:11:58:4a:18:
57:0d:34:18:5e:35:c8:b3:ac:04:5f:8d:38:2f:a2:
cf:d2:dc:74:d8:41:02:ec:e0:db:0c:54:81:a4:7a:
c5:34:d5:19:86:b6:1e:65:f7:3c:f6:b2:dd:3a:b5:
b7:91:61:18:fd:81:2c:8a:68:d7:d6:a8:33:b7:47:
b8:f9:48:ad:35:ee:11:93:f9:c2:a9:fa:94:8e:4f:
bb:d1:1e:a7:64:74:b4:f9:0f:88:a7:11:a7:33:1a:
c2:b1:14:0c:12:a8:6b:82:44:78:4e:d5:79:8f:5c:
60:29:47:4c:36:35:52:c7:ad:6c:c0:20:39:93:f1:
c8:b3:3b:d9:c6:ec:dd:22:45:27:a2:50:12:07:f8:
fe:38:79:24:89:b9:f7:de:e0:c6:e9:64:e3:f4:0b:
fa:c7
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
X509v3 CRL Distribution Points:
URI:http://crl.certum.pl/gsca.crl
Authority Information Access:
CA Issuers - URI:http://repository.certum.pl/gsca.cer
X509v3 Authority Key Identifier:
keyid:45:C5:B2:86:4E:CC:DD:29:97:E4:DD:14:C4:6E:AE:4D:B8:C1:77:F8
X509v3 Subject Key Identifier:
9D:CE:F0:5A:B4:CB:25:CF:36:A5:82:5D:8F:F7:7F:98:46:19:37:2E
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Certificate Policies:
Policy: X509v3 Any Policy
CPS: https://www.certum.pl/CPS
Signature Algorithm: sha1WithRSAEncryption
53:01:c7:87:ad:ac:d7:52:32:1f:79:5d:87:f0:01:88:8e:99:
3f:07:d8:e4:bc:84:0a:8d:5f:d5:d5:62:c2:9b:79:33:46:f9:
8a:d9:b2:96:ed:35:8a:29:3b:5f:38:7a:6a:70:1d:8b:84:1a:
a3:90:81:f7:2e:60:77:78:f0:d0:84:a3:e9:8a:3c:ef:8a:34:
6b:b1:9c:e8:e1:76:f4:87:1e:7b:3c:18:6f:98:70:2c:2a:8a:
22:f5:ba:96:52:7e:26:62:8b:96:03:32:22:f9:80:d7:f1:dd:
9e:c2:79:b4:17:0d:40:ff:50:6a:28:6f:e8:6f:11:8a:f9:b4:
65:2b:52:86:31:50:c7:4d:e6:f3:be:de:6a:d1:89:90:27:61:
6c:1c:7d:90:1f:9a:ed:02:d4:01:22:5e:8b:0b:c9:99:34:f1:
1d:04:f4:d6:d0:71:7c:8f:0c:31:a3:2f:20:ad:35:c8:d3:b4:
0b:38:74:89:a5:d3:55:72:e9:af:b0:b8:9f:02:c9:85:69:01:
d8:7e:00:44:25:91:2c:5e:5b:9f:ed:52:a8:bb:5d:94:20:f4:
c4:82:35:de:e5:d3:05:3c:14:d5:08:80:e4:74:47:e3:fa:f7:
8c:73:40:a8:2d:ea:1f:96:c8:e3:03:2c:62:08:cc:44:02:46:
a5:81:c2:0a
CA NetArtu nie jest domyślnie zainstalowane w żadnej przeglądarce więc nic dziwnego - ale są tam klucze Unizeto/Certum - dorzucę więc klucz CA (Chrome najwidoczniej sam potrafi to zrobić):
wget http://repository.certum.pl/gsca.cer
openssl x509 -inform der -in gsca.cer -out gsca.pem
cat gsca.pem >> netart_rootca.crt
Restart Apachego i przeglądarki już nie krzyczą. Mogliby się tylko wysilić na jakąś instrukcję albo udostępnienie od razu cabudle.crt z wszystkimi potrzebnymi certami.