У мене встановлений сертифікат SSL Go Daddy і працює чудово скрізь, окрім Android.
https://www.ssllabs.com/ssltest/analyze.html повідомляє, що ланцюжок неповна, і я перечитав, що переповнення стека не в неправильному порядку на Android.
Але як я приведу це в порядок? На моєму сервері? Сертифікат SSL себе потрібно переробляти? Перемістити речі на FTP?
Відповіді:
Після відповіді на Zakjan, у мене виникла проблема, коли я намагався використовувати jquery, щоб зробити запит AJAX на моєму новому захищеному сервері, у веб-перегляді Android. Він працював у браузері, але не в моєму додатку.
Я використовував цей сайт: https://certificatechain.io/
Я вставив текст свого підписаного .crt-файлу, який я повернув із Comodo (positiveSSL), і це повернуло мені стислий вміст про все, що мені потрібно. Я зберегла його як мій домен + "chain.crt" (див. Нижче)
Потім у свої конфігурації apache я ввів щось подібне для цього конкретного віртуального хоста:
SSLEngine On
SSLCertificateFile /etc/ssl/localcerts/example_com.crt
SSLCertificateKeyFile /etc/ssl/localcerts/example.com.key
SSLCACertificateFile /etc/ssl/localcerts/example.com.chain.crt
Після цього у веб-перегляду мого додатка Android не виникло проблем із використанням ajax для POST на моєму сервері. Я спробував це на двох реальних пристроях, на одному працює 2.3.4, на одному працює 4.що. А на емуляторі працює 2.3. Всі працювали.
Я сподіваюся, що це допомагає.
SSLCACertificateFileбула лінією, яку я пропустив. Спочатку я вважав, що мій офіційний центр був занадто новим, оскільки SSL працював, коли його вимагали деякі браузери / ОС, але не інші. Використання decoder.link/sslchecker допомогло з’ясувати, що моя конфігурація помилялася, і ця відповідь мала виправлення. Дякую!!
Ланцюжок був у файлі crt, щоб оригінальний SSL працював.
Для GoDaddy є другий серт - gd_bundle.crt
Скопіюйте цю інформацію та додайте її до crt, встановленого на сервері.
Отже, початковий crt на сервері мав 1 сертифікат, а після нього буде 3 у тому ж файлі. Це ланцюжок.
У мене все ще є прив’язка до ланцюжкових питань на ssllabs.com, але це не проблема, а лише можливість залишити чи вийти - відповідно до - /security/24561/ssltest-chain-isissue -контейнер-якір / 24566 # 24566
Ви можете вирішити неповну проблему ланцюжка сертифікатів вручну, об'єднавши всі сертифікати від сертифіката до надійного кореневого сертифіката (виключно в цьому порядку), щоб запобігти таким проблемам. Зверніть увагу, довіреного кореневого сертифіката не повинно бути там, оскільки він уже включений у сховище кореневих сертифікатів системи.
Ви повинні мати можливість отримати проміжні сертифікати у емітента та скласти їх разом. До речі, я написав сценарій для автоматизації процедури, потрібен сертифікат для отримання виводу правильно пов'язаних сертифікатів. https://github.com/zakjan/cert-chain-resolver
SSLCACertificateFileдирективи та вказівка її на файл CA, який мені надав повноваження. Це не спрацює, якби я просто з'єднав інші сертифікати зі своїм файлом сертифікатів.