web-dev-qa-db-ja.com

Comodo SSL:ERR_CERT_AUTHORITY_INVALID on Chrome mobile and Opera mobile(Android)

Chrome Android for mobileなど)の一部のモバイルブラウザーでは、https Webサイトに接続するとERR_CERT_AUTHORITY_INVALIDエラーが表示されます。すべてのモバイルブラウザー(Firefoxなど)でこの問題は発生しません。 PCでは問題ありません。

私の証明書はComodo Extended Validation証明書です。私はフランスのSSL認証機関であるGandi.netと契約しており、GandiはComodo EV証明書の取得とその提供を担当しています。 Gandiは、ベースPEM証明書と中間PEM証明書をくれました。両方をインストールしました。

https://www.ssllabs.com/ssltest/analyze.html で分析を行い、インストール中に証明書の1つ(「COMODO RSA Certification Authority」という名前)について「追加ダウンロード」と表示されます。 Gandiから取得したすべての証明書。

私はこのスレッドを調べようとしましたが、助けにはなりませんでした: SSL cert "err_cert_authority_invalid" on mobile chrome only

誰かが間違っていることを知っていますか?ありがとう。

17
Julien Salinas

ここに興味がある人にとっては、どうやって問題を解決したかです。

問題:証明書チェーンに中間Comodo証明書がありませんでした。私のSSL証明機関(Gandi.net)はComodoとの関係を担当し、Gandiは2つの証明書のみを提供しました。ベース証明書と中間証明書です。両方とも.pem形式でした。両方をインストールしたので、2、3のモバイルブラウザーを除くほとんどすべてのブラウザーで十分でした。実際には、「COMODO RSA認証局」と呼ばれるComodo中間証明書がありませんでした。

2ステップのソリューション:

1)ここですべてのComodo証明書を含むリポジトリを見つけました https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/0/which-is-root-which- is-intermediate 。このページから.PEM形式で貼り付けたものをコピーします https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/977/108/extended-validation-sha-2 (ここでは「COMODO RSA Certification Authority」ではなく「#intermediate1」と呼ばれます)。

2)この新しい証明書を最初の証明書のtheendに配置することにより、この新しい中間証明書と私が既に持っている最初の中間証明書(Comodo Webサイトでは "#intermediate2"と呼ばれる)を連結しました。私はこのようにしました:

-----BEGIN CERTIFICATE-----
intermediate#2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate#1
-----END  CERTIFICATE-----

それが役立つことを願っています!

11
Julien Salinas

私はnginxの下でサイトをホストしていますが、Androidアプリケーション。同じ問題を抱えていました。上記の 受け入れられた答え は私の解決策に導きました:

証明書を取得したら(my-domain.crt)証明書を ComodoRSADomainCA と組み合わせて生成された境界crtファイルを作成しました_および ComodoRSAAddTrustCA PEMコンテンツ

cat my-domain.crt ComodoRSADomain.crt ComodoRSAAddTrustCA.crt > ssl-boundle.crt

ssl-boundle.crtをnginxにリンクしたとき、クライアントはデータ交換の問題を抱えていませんでした。そして、私は ssllabs でこの素晴らしい結果を得ました:

The happy score :)

5
RonzyFonzy

証明書チェーンが不完全です。 「追加ダウンロード」がそれを証明しています。

Ssllabsによって示された欠落している証明書を含むチェーンを送信する必要があります。

ブラウザは証明書のキャッシュを保持するため、接続はほとんどの場合機能します。

3
Tom

問題が解決しない場合はバンドルを作成した後、私の場合、.pemの最後に余分なスペースがあり、Chromeは安全でないとして表示され、Firefoxでは問題なく動作します。大丈夫、これが誰かを助けることを願っています。

0
onalbi