我正在尝试将 StartSSL(免费)SSL 证书与 monit 一起使用。
我按照 startssl.com 上的向导先生成私钥,然后生成证书。然后我下载了 sub.class1.server.ca.pem 和 ca.pem 文件。我将它们全部合并为一个文件,如下所示:
cat ssl.key ssl.crt sub.class1.server.ca.pem ca.pem > server.pem
然后,我将 monitrc 中的该文件设置为 pemfile。生成的设置在 chrome / IE 中运行良好,但在 Firefox 中显示 (Error code: sec_error_unknown_issuer) 消息。如果我省略 StartSSL 中级 CA 证书,我会得到相同的结果,如下所示:
cat ssl.key ssl.crt > server.pem
难道monit只支持单个证书,而不支持证书链?
如何让 monit 识别证书链并在 Firefox 中无错误显示?
答案1
很有可能您缺少链证书或证书顺序错误,并且 Chrome/IE 已经知道链,而 Firefox 却不知道。
您可以使用 openssl s_client 来调试它,但它有点笨重和讨厌。我很喜欢免费的sslshopper 上的工具用于测试 SSL 证书部署。尝试一下并报告结果!