我最多只是一名兼职管理员,所以我每 2-3 年才做一次这些事情。
我正在重新安装一个在 8.5.2 中运行的 Linux 服务器。SSL 证书来自 GoDaddy。我创建 keyfile.kyr 已经有六次了,但都没有成功。按照 Domino 管理员帮助中的说明,我
- 创建钥匙圈
- 创建请求“来自 CA 的 SSL 服务器证书“
- 在 Go Daddy 网站上,我访问我的 SSL 证书并使用“重新密钥”选项,使用 SHA-2 签名算法和 Go Daddy 颁发机构创建请求
- 几分钟后,我就可以下载了。此下载包含两个文件:
gd_bundle-g2-g1.crt和2b026decb857de.crt - 接下来,我尝试从文件中“将 CA 证书作为受信任的根合并到服务器密钥环文件中”。
gd_bundle-g2-g1.crt有三个证书的成功程度各不相同...
文件中的第一个证书是通用名称“Go Daddy 根证书颁发机构 - G2“。尝试合并它得到的结果为:”证书签名与内容不匹配“
文件中的第二个证书用于通用名称“Go Daddy 安全证书颁发机构 - G2“。尝试合并它得到的结果为:”在受信任的根中找不到证书颁发者“
文件中的第三个证书是通用名称“去爸爸根“。合并尝试成功。
无论这些活动的顺序如何,前两个活动仍然存在错误。
当我尝试下一步时“将证书安装到密钥环中“我收到消息了”无法识别的证书颁发机构签名“这使我可以随意合并证书。但是使用这种方式合并的证书会导致网站无法验证,并且 SSL 锁将被异常感叹号取代。
我尝试了 Go Daddy 的其他几个 .crt 文件,这些文件可在此处找到:https://certs.godaddy.com/anonymous/repository.pki但没有成功。
提前感谢您对此的想法。
答案1
问题是,当您更新证书时,您接受了默认的加密方法 SHA2,但该方法尚未得到正确支持。需要将其切换到 SHA1。SHA1 曾经是默认方法,但最近已更改。今后需要注意这一点。
godaddy现在默认颁发更高新格式的证书,你可以在godaday重新颁发证书,选择sha1。
答案2
首先,您需要确定导入的正确顺序。首先使用“安装受信任的根证书...”按钮导入根证书。我猜下一个必须是根 -G2,最后但并非最不重要的是安全证书。按正确顺序安装所有根证书后,您将能够安装证书本身。
原因如下:将证书视为一个链条。信任某人的规则如下:如果我信任你的父亲,我才会信任你。“根”证书本身没有父亲(这就是它被称为根的原因)。您首先导入它。使用此根证书颁发另一个证书。要导入 G2,您必须已经信任其父亲。等等。棘手的事情是找出“谁颁发了什么”并按正确的方向导入。链条完成后,您就可以安装证书本身了。