Apache服务器,遵循此处的指南:https://www.startssl.com/Support?v=21
的httpd.conf:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile "/usr/local/apache2/conf/domain.crt"
SSLCertificateKeyFile "/usr/local/apache2/conf/private.key"
SSLCertificateChainFile "/usr/local/apache2/conf/1_root_bundle.crt"
在Chrome中运行良好,但Firefox会产生以下错误:
Error code: SEC_ERROR_UNKNOWN_ISSUER
https://www.sslshopper.com/ssl-checker.html的分析说明如下:
所有网络浏览器都不信任该证书。您可能需要安装中间/链证书才能将其链接到受信任的根证书。详细了解此错误。您可以通过遵循服务器平台的StartCom证书安装说明来解决此问题。请注意有关中级证书的部分。
如何使链条有效?
答案 0 :(得分:4)
我想你不能。从2016年10月开始,Mozilla计划不信任StartSSL颁发的证书,为期一年。更好地使用Let's encrypt作为StartSSL(也称为StartCom)遇到麻烦。你看到的可能就是这种情况。
如果好奇,你可以阅读更多内容:
答案 1 :(得分:4)
SSLCertificateChainFile "/usr/local/apache2/conf/1_root_bundle.crt"...您可能需要安装中间/链证书才能将其链接到受信任的根证书
SSLCertificateChainFile选项在Apache 2.4.8版中已经过时,任何链证书都需要添加到SSLCertificateFile中。由于您根据评论使用2.4.23,这意味着此设置被忽略。这意味着没有链证书被发送到客户端,导致验证错误。您应该在错误日志中收到一条消息,但指出了无效设置。