発行者の証明書が不明であるため、証明書は信頼されていません。 (エラーコード:sec_error_unknown_issuer)Firefox
WebサイトがSSL証明書をNetwork SolutionsからGandiに切り替えようとしています。 Firefoxでのみエラーがスローされることを除いて、すべてが正しくインストールされているようです。 ChromeおよびIEでは、スローされるエラーはありません。認証パスに問題があるようです。いくつか試しましたが、Googleで試しましたが、問題は解決しませんどんなヒントもいただければ幸いです。よろしくお願いします!
試行された手順:
- http://wiki.gandi.net/en/ssl/intermediate (SHA2標準証明書)の指示に従ってGandiから取得したGandi中間証明書
- ガンディ中間証明書をサーバーに追加(MMC>証明書>中間認証局>証明書)
- https://ssl-tools.net/certificates/1y0ovx5-usertrust-rsa-certification-authority のSSL-Toolsから取得したUSERTRust RSA認証局証明書
- サーバーにUSERTrust RSA証明機関証明書を追加しました(MMC>証明書>信頼されたルート証明機関>証明書)
- すべてのインストール後にIISを再起動します。
- インストールのたびにローカルブラウザのキャッシュをクリアします。
Firefoxエラー:
Technical Details
www.somedomain.org uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown.
(Error code: sec_error_unknown_issuer)
Firefox 34証明書の階層:
Gandi Standard SSL CA 2 > somedomain.org
Chrome 40とInternet Explorer 11の認定パス:
USERTRust > USERTrust RSA Certification Authority > Gandi Standard SSL CA 2 > somedomain.org
SSLラボのテスト結果( https://www.ssllabs.com/ssltest/analyze.html ):
Additional Certificates (if supplied)
Certificates provided 2 (2851 bytes)
Chain issues Incomplete
#2
Subject Gandi Standard SSL CA 2
Fingerprint: 247106a405b288a46e70a0262717162d0903e734
Valid until Wed Sep 11 16:59:59 PDT 2024 (expires in 9 years and 8 months)
Key RSA 2048 bits (e 65537)
Issuer USERTrust RSA Certification Authority
Signature algorithm SHA384withRSA
Certification Paths
1 Sent by server somedomain.org
Fingerprint: 0123456789012345678901234567890123456789
RSA 2048 bits (e 65537) / SHA256withRSA
2 Sent by server Gandi Standard SSL CA 2
Fingerprint: 247106a405b288a46e70a0262717162d0903e734
RSA 2048 bits (e 65537) / SHA384withRSA
3 Extra download USERTrust RSA Certification Authority
Fingerprint: eab040689a0d805b5d6fd654fc168cff00b78be3
RSA 4096 bits (e 65537) / SHA384withRSA
4 In trust store AddTrust External CA Root Self-signed
Fingerprint: 02faf3e291435468607857694df5e45b68851868
RSA 2048 bits (e 65537) / SHA1withRSA
Weak or insecure signature, but no impact on root certificate
SSL-Toolsテスト結果( https://ssl-tools.net/webservers/ ):
Certificate chain
somedomain.org
1054 days remaining 2048 bit sha256WithRSAEncryption
- Gandi Standard SSL CA 2
- 3537 days remaining 2048 bit sha384WithRSAEncryption
- Root certificate unknown
-- USERTrust RSA Certification Authority
サーバ:
- Windows Server 2008 R2
- IIS 7.5
「USERTrust RSA Certification Authority」は、すべてのプラットフォームでルートCAとして認識されていません。したがって、最良のオプションは、「AddTrust External CA Root」によって署名された証明書を持つ中間CAとして使用することです。
この証明書は http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt で取得できます。
証明書の適切なインストール(ほとんどの場合)は次のとおりです。
- Rootstore
- AddTrust外部CAルート
- 中間ストア
- USERTrust RSA認証局(AddTrustによる署名)
- ガンディ標準SSL CA 2
- 個人ストア
- [サーバー証明書]
Windows Server 2008 R2は自動的に信頼された証明書を管理するため、サーバーは次の構成を取得できます。
- Rootstore
- AddTrust外部CAルート
- USERTrust RSA認証局(自己署名)
- 中間ストア
- USERTrust RSA認証局(AddTrustによる署名)
- ガンディ標準SSL CA 2
- 個人ストア
- [サーバー証明書]
サーバーが証明書を送信するとき、サーバーはルートへの最短パスを選択します。
- [サーバー] <ガンディ<USERTrust(自己署名)
そして、それはほとんどのプラットフォームにとって不完全なチェーンです。
これが問題である場合、最良の解決策は、ルートストアで「USERTrust RSACertification Authority」を見つけ、そのプロパティを「」に編集することです。この証明書のすべての目的を無効にします '。
サーバーを再起動した後、Windowsは常に目的のチェーンを生成します。
- [サーバー] <ガンディ<USERTrust <AddTrust