WebサイトがSSL証明書をNetwork SolutionsからGandiに切り替えようとしています。 Firefoxでのみエラーがスローされることを除いて、すべてが正しくインストールされているようです。 ChromeおよびIEでは、スローされるエラーはありません。認証パスに問題があるようです。いくつか試しましたが、Googleで試しましたが、問題は解決しませんどんなヒントもいただければ幸いです。よろしくお願いします!
試行された手順:
Firefoxエラー:
Technical Details
www.somedomain.org uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown.
(Error code: sec_error_unknown_issuer)
Firefox 34証明書の階層:
Gandi Standard SSL CA 2 > somedomain.org
Chrome 40とInternet Explorer 11の認定パス:
USERTRust > USERTrust RSA Certification Authority > Gandi Standard SSL CA 2 > somedomain.org
SSLラボのテスト結果( https://www.ssllabs.com/ssltest/analyze.html ):
Additional Certificates (if supplied)
Certificates provided 2 (2851 bytes)
Chain issues Incomplete
#2
Subject Gandi Standard SSL CA 2
Fingerprint: 247106a405b288a46e70a0262717162d0903e734
Valid until Wed Sep 11 16:59:59 PDT 2024 (expires in 9 years and 8 months)
Key RSA 2048 bits (e 65537)
Issuer USERTrust RSA Certification Authority
Signature algorithm SHA384withRSA
Certification Paths
1 Sent by server somedomain.org
Fingerprint: 0123456789012345678901234567890123456789
RSA 2048 bits (e 65537) / SHA256withRSA
2 Sent by server Gandi Standard SSL CA 2
Fingerprint: 247106a405b288a46e70a0262717162d0903e734
RSA 2048 bits (e 65537) / SHA384withRSA
3 Extra download USERTrust RSA Certification Authority
Fingerprint: eab040689a0d805b5d6fd654fc168cff00b78be3
RSA 4096 bits (e 65537) / SHA384withRSA
4 In trust store AddTrust External CA Root Self-signed
Fingerprint: 02faf3e291435468607857694df5e45b68851868
RSA 2048 bits (e 65537) / SHA1withRSA
Weak or insecure signature, but no impact on root certificate
SSL-Toolsテスト結果( https://ssl-tools.net/webservers/ ):
Certificate chain
somedomain.org
1054 days remaining 2048 bit sha256WithRSAEncryption
- Gandi Standard SSL CA 2
- 3537 days remaining 2048 bit sha384WithRSAEncryption
- Root certificate unknown
-- USERTrust RSA Certification Authority
サーバ:
「USERTrust RSA Certification Authority」は、すべてのプラットフォームでルートCAとして認識されていません。したがって、最良のオプションは、「AddTrust External CA Root」によって署名された証明書を持つ中間CAとして使用することです。
この証明書は http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt で取得できます。
証明書の適切なインストール(ほとんどの場合)は次のとおりです。
Windows Server 2008 R2は自動的に信頼された証明書を管理するため、サーバーは次の構成を取得できます。
サーバーが証明書を送信するとき、サーバーはルートへの最短パスを選択します。
そして、それはほとんどのプラットフォームにとって不完全なチェーンです。
これが問題である場合、最良の解決策は、ルートストアで「USERTrust RSACertification Authority」を見つけ、そのプロパティを「」に編集することです。この証明書のすべての目的を無効にします '。
サーバーを再起動した後、Windowsは常に目的のチェーンを生成します。