История изменений
Исправление MariaRTI, (текущая версия) :
Всё же так правильнее, сделал так.
cat end.crt ../inter_ca/inter.crt ../root_ca/rootca.pem > end.list.crt
Давайте разберемся куда эту цепочку вставлять, т.к. что-то стало значительно лучше, а что-то вообще перестало работать. Долго объяснять.
Вот вычищенный и упрощенный код , по смыслу понятно что есть что.
cacertfile = /ssl/end_cert/end.csr слева CA-переменная, справа -CERTIFICATE REQUEST файл
certfile = /ssl/end_cert/end.list.crt слева переменная сертификата, справа - цепочка сертификатов от end + int + root
keyfile = /ssl/end_cert/end.key приватный ключ
Вы говорите, что цепочка сертификатов должна быть в CA, но там обычно, в примерах, CERTIFICATE REQUEST, а куда девать CERTIFICATE REQUEST ?
сейчас такая ситуация
-
на сервере в командной строке, получаю верификация - OK, несколькими способами, казалось бы в таком случае всё замечательно должно работать!
-
в логе своего сервера получаю TLS server: In state wait_finished received CLIENT ALERT: Fatal - Certificate Unknown
Хотя это всегда было, но не было фатально. Но сейчас перестали проходить загрузки файлов
а на клиенте в браузере failed ERR_CERT_AUTHORITY_INVALID , вместо ошибки CORS
Исходная версия MariaRTI, :
Всё же так правильнее, сделал так.
cat end.crt ../inter_ca/inter.crt ../root_ca/rootca.pem > end.list.crt
Давайте разберемся куда эту цепочку вставлять, т.к. что-то стало значительно лучше, а что-то вообще перестало работать. Долго объяснять.
Вот вычищенный и упрощенный код , по смыслу понятно что есть что.
cacertfile = /ssl/end_cert/end.csr слева CA-переменная, справа -CERTIFICATE REQUEST файл
certfile = /ssl/end_cert/end.list.crt слева переменная сертификата, справа - цепочка сертификатов от end + int + root
keyfile = /ssl/end_cert/end.key приватный ключ
Вы говорите, что цепочка сертификатов должна быть в CA, но там обычно, в примерах, CERTIFICATE REQUEST, а куда девать CERTIFICATE REQUEST ?