我们刚刚从 GoDaddy 获得了新的 SSL 证书。虽然所有浏览器都支持该证书,但 Safari 却出现以下错误:
该证书由未知机构签署。
我们在 Apache 中的以下配置中使用链文件:
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/godaddy.crt
SSLCertificateKeyFile /etc/apache2/ssl/godaddy.key
SSLCertificateChainFile /etc/apache2/ssl/gd_bundle2.crt
在网上浏览,似乎其他人也遇到了这个问题(http://blog.boxedice.com/2009/05/11/godaddy-ssl-certificates-and-cannot-verify-identity-on-macsafari/) 但似乎没有解决方案可以解决这个问题。
有谁知道为什么会这样,或者有遇到过这种情况的经历,以及如何解决它?
答案1
验证服务器是否发出了正确的中间证书http://www.sslshopper.com/ssl-checker.html
正如 martona 所建议的,您可能需要使用不同的捆绑包。
答案2
您可能使用了错误的证书链。我假设您的“gd_bundle2.crt”与此页面上的“gd_bundle.crt”相同:https://certs.godaddy.com/anonymous/repository.seam
该 gd_bundle.crt 链具有“Go Daddy 2 级认证机构”,可验证 Valicert 根。我认为这不再有效 - GoDaddy 似乎颁发由“Go Daddy 安全认证机构”签名的证书,而该证书又由另一个自签名的“Go Daddy 2 级认证机构”签名 - 而不是您链中 Valicert 颁发的证书,因此它与您的实际证书无关。
转到上面引用的页面,下载“gd-class2-root.crt”,然后下载“gd_intermediate.crt”。将这两个文件(它们只是纯文本文件)连接到“mybundle.crt”,并在 SSLCertificateChainFile 中指定这个新文件。看看这是否有区别。
答案3
由于某种原因,Safari 无法与最新的受信任根证书颁发机构保持同步。您可以联系客户服务并要求他们使用不同的受信任根证书重新颁发给您。
答案4
这并不能完全解决当前的实际问题,但正是这样的怪癖导致我总是从 Thawte 购买 SSL 证书。