Wyobraźcie sobie następującą sytuację z Thawte, klientem klasy VIP (hipergold) i wildcardowym certyfikatem SSL

Klient kupuje rzeczony certyfikat i prosi o instalację. Nie zastanawiając się dodajecie do konfiguracji w Apache’u taki oto zestaw ścieżek w konfiguracji serwera wirtualnego:

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/2010/*.crt
SSLCertificateKeyFile /etc/apache2/ssl/2010/*.key

Następnie:

/etc/init.d/apache2 restart

Kolejno wykonujecie test na swoim Firefox’ie (zakładam, że pracujecie na stacjach z *nix’ami). Działa! Klientowi wysyłacie informację ‚jest GIT!’ o treści ‚szanowny Panie, miło było nam uczestniczyć w pracach nad wdrożeniem zaawansowanych zabezpieczeń dla…’.

Mijają 24 godziny. Dzwoni klient. Wściekły z hasłem ‚w MSIE nie działa, to jest niedopuszczalne, to dyletanctwo’ etc. etc. Zastanawiacie się ‚jak to k… mać jest możliwe’ zwłaszcza, że zdążyliście już sprawdzić, że nie działa także na niektórych FF’kach? Otóż jest – gdy CA podaje certyfikat urzędu w … środkowej linijce certyfikatu klienta. Szybka poprawka konfiguracji Apache’a po pobraniu i zapisaniu, środkowego, certyfikatu wystawiającego i wgraniu go na serwer wygląda tak:

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/2010/*.crt
SSLCertificateKeyFile /etc/apache2/ssl/2010/*.key
SSLCACertificatePath /etc/apache2/ssl/certs
SSLCACertificateFile /etc/apache2/ssl/certs/ThawteSSLCA.crt

I znowu restart serwisu WWW i … działa wszędzie. Kochajmy zaufane urzędy certyfikacji oraz certyfikaty kwalifikowane! Dogłębnie.

Ps. Jako, że problem wygląda na taki z kategorii głupich i niemożliwych do odtworzenia zamieszczam małe uzasadnienie, z zewnątrz, dla niedowierzających, i z obrazkami:

http://www.sslshopper.com/ssl-certificate-not-trusted-error.html

Reklamy