Различные проблемы с частными сертификатами SSL и ЦС

Этот вопрос довольно открытый, потому что, честно говоря, я не эксперт в сертификате SSL, и он выполняет код на нескольких языках. Возможно, это даже не проблема «кода», а скорее проблема инфраструктуры, но на данный момент мне просто нужен кто-то, чтобы указать мне правильное направление. Недавно мой ИТ-отдел выдал мне сертификаты на внутренние услуги в частной сети. Я использую Nginx для прослушивания на 443 и перенаправления с 80 на 443. В Chrome все работает отлично, но при переходе на Firefox начинают появляться проблемы. Firefox рассматривает сайт как самозаверяющий сертификат, и вам нужно дать ему явную инструкцию игнорировать его. Однако проблема не заканчивается, мои кулинарные книги Chef теперь не работают в любом месте, где осуществляется доступ к одной из моих внутренних служб (API, копирование файлов и т. Д.), Со следующими типами ошибок:

================================================================================
       Error executing action `create` on resource 'remote_file[Download Installer]'
       ================================================================================

       OpenSSL::SSL::SSLError
       ----------------------
       SSL Error connecting to http://service.domain.com/download/client - SSL Error connecting to https://service.domain.com/download/client - SSL_connect returned=1 errno=0 state=error: certificate verify failed

Я вижу такую ​​же ошибку с библиотеками Ruby и NodeJS. Мне удалось обойти это по большей части, настроив библиотеки на игнорирование недоверенных, но это временное исправление. Мне нужно понять, почему это происходит. Мой центр сертификации настроен неправильно, и нужно ли мне просить ИТ-специалистов изменить конфигурацию? Нужно ли мне копировать сертификат на каждую машину, которая должна получить доступ к этим службам HTTPS? Почему Chrome работает нормально? Я искал на своем локальном компьютере сертификат, который может быть у меня локально, из-за которого я получаю ложные срабатывания при тестировании Chrome, но у меня нет ничего локального, что могло бы оказать какое-либо влияние. Кажется, Chrome разрешает CA по сети? (Вот как я предполагал, что это сработало) Любая помощь приветствуется, спасибо.


ssl certificate ssl-certificate openssl certificate-authority
person user7351649    schedule 28.12.2016    source источник
comment
ИТ-специалисты должны убедиться, что их сертификату подписи доверяют все ваши клиенты. Это не ваша проблема, а их проблема.   -  person user207421    schedule 29.12.2016
comment
Огромное спасибо! Я проведу исследование на основе этого ответа и спрошу ИТ-специалистов.   -  person user7351649    schedule 29.12.2016

Ответы (1)


arrow_upward
0
arrow_downward

Нужно ли мне копировать сертификат на каждую машину, которая должна получить доступ к этим службам HTTPS? Почему Chrome работает нормально?

Каждый клиент, который должен использовать это соединение с хостами, использующими внутренний ЦС, должен доверять этому ЦС. Я предполагаю, что администраторы убедились, что ЦС включен в хранилище доверенных сертификатов Windows на всех машинах, поскольку это можно легко сделать с помощью политики. Но ни Firefox, ни Ruby, ни NodeJS, ни Java (или различные другие инструменты) не используют хранилище доверенных сертификатов Windows, но у них есть собственное. Таким образом, локальный центр сертификации также должен быть включен во все эти доверенные хранилища.

person Steffen Ullrich    schedule 29.12.2016