Risolvere gli errori delle CA intermedie

Sempre più siti adottano certificati validati dalla PKI, grazie anche a fornitori molto convenienti.

Alcuni certificati acquistati necessitano di una serie di CA oppure di certificati intermedi affinché il client li possa verificare correttamente.

Esistono tool online come quello di SSL Hopper che permettono di verificare se il server dichiara correttamente la catena di certificati che validano quello che si sta utilizzando.

Può capitare che le istruzioni indicate dal fornitore del certificato siano incomplete oppure non si applichino ad alcuni software.

Di recente ho installato un certificato wildcard di Comodo su un Apache 2.4, Assieme al certificato sono stati forniti anche questi file CRT:

  • Root CA Certificate – AddTrustExternalCARoot.crt
  • Intermediate CA Certificate – COMODORSAAddTrustCA.crt
  • Intermediate CA Certificate – COMODORSADomainValidationSecureServerCA.crt

Le istruzioni del fornitore applicate a questo caso con Apache 2.4 producevano un errore di verifica della catena di autenticazione del certificato.

La soluzione è stata quella di unire i tre file CRT in un unico file PEM. Siccome i file CRT e PEM sono  file di testo e il file PEM non è altro che un insieme di CRT, basta incorporare il testo di ogni CRT in un unico PEM; con *NIX si può usare questo comando:

cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > cacert.pem

quindi utilizzare il file cacert.pem in questo modo

SSLCertificateChainFile /path/di/cacert.pem

Una volta ricaricato Apache, il certificato viene presentato al client con la giusta catena di validazione.


Pubblicato

in

da

Commenti

Una risposta a “Risolvere gli errori delle CA intermedie”

  1. Avatar Alex

    Le tue informazioni sono state molto importanti.
    Avevo lo stesso problema di verifica CA su PLESK 10.4.4, da Windows ho creato un file di testo unico .pem come hai fatto tu ed ho risolto il problema di verifica.
    1000 grazie!!!
    🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *