V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kjstart
V2EX  ›  DNS

你们申请的 Let's encrypt 的泛域名证书能被浏览器信任吗?

  •  
  •   kjstart · 2018-11-19 18:58:09 +08:00 · 11152 次点击
    这是一个创建于 2221 天前的主题,其中的信息可能已经有所发展或是发生改变。
    为啥我的显示证书无效呢?
    Let's Encrypt
    DST Root CA X3
    31 条回复    2022-01-07 20:07:26 +08:00
    alvin666
        1
    alvin666  
       2018-11-19 19:05:10 +08:00 via Android
    报什么错贴出来啊,不是证书的问题,是你配置的问题
    kjstart
        2
    kjstart  
    OP
       2018-11-19 19:07:25 +08:00 via Android
    就 chrome 左边显示不信任,查看证书没报错。但我用来搭 ngrok 服务器的,client 连的时候必须强制信任,否则报 x509
    kjstart
        3
    kjstart  
    OP
       2018-11-19 19:07:56 +08:00 via Android
    就 chrome 左边显示不安全。。
    kjstart
        4
    kjstart  
    OP
       2018-11-19 19:11:39 +08:00 via Android
    浏览器上都能查看两级签名机构,根证书是 DST Root CA X3。是不是这家的根证书不常见啊?
    hash
        5
    hash  
       2018-11-19 19:14:20 +08:00
    Chrome 上没有被阻止而是显示不安全的话大概率是因为引用了 HTTP 的内容.
    看看控制台啊
    460881773
        6
    460881773  
       2018-11-19 19:24:24 +08:00
    信任的 可能是你的配置问题
    nicevar
        7
    nicevar  
       2018-11-19 19:27:35 +08:00
    能信任的,应该是你配置问题,如果确认配置是好的,重启一下服务,比如 nginx 之类的
    kjstart
        8
    kjstart  
    OP
       2018-11-19 19:32:28 +08:00 via Android
    我再试试吧,let's encrypt 网站有信任列表,主流浏览器都是信任的 https://letsencrypt.org/docs/certificate-compatibility/
    yidinghe
        9
    yidinghe  
       2018-11-19 19:34:25 +08:00
    我们公司用 LetsEncrypt 证书在网站和 App 上,都没问题
    liuxu
        10
    liuxu  
       2018-11-19 19:34:54 +08:00   ❤️ 11
    连调试都不会。。。

    1.chrome 地址栏输入:chrome://net-internals
    2.Capture 标签下点击 reset 清空已捕获的包,Sockets 标签下点击 Flush socket pools 清空所有连接
    3.在你的网站页面 f12 打开开发者工具,点击 disable cache,然后 f5 刷新你的网站页面
    4.点击 Events 标签,地址栏输入:type:SOCKET 你的域名。注意,SOCKET 和你的域名中间有空格

    4 就是 ssl 握手的输出,它的 description 应该是 ssl/你的域名

    现在,要么自己分析 4 的输出,要么贴出来
    izoabr
        11
    izoabr  
       2018-11-19 19:46:42 +08:00
    你是不是引用了别的非 https 的资源啊?
    d5
        12
    d5  
       2018-11-19 20:12:18 +08:00 via iPhone
    根证书和证书内容复制到一起
    yiyiwa
        13
    yiyiwa  
       2018-11-19 20:13:48 +08:00
    信任的
    flowfire
        14
    flowfire  
       2018-11-19 20:25:10 +08:00
    就不能截个图吗
    masker
        15
    masker  
       2018-11-19 20:25:59 +08:00 via Android
    信任啊。
    0ZXYDDu796nVCFxq
        16
    0ZXYDDu796nVCFxq  
       2018-11-19 20:28:04 +08:00 via Android   ❤️ 3
    先学提问再学技术吧
    V2 的提问题的帖子质量越来越低,都是小学生吗
    kn007
        17
    kn007  
       2018-11-19 20:50:09 +08:00
    证书链补齐问题吧?
    srx1982
        18
    srx1982  
       2018-11-19 21:31:42 +08:00
    应该是证书链问题,看看你证书是一段内容还是两段内容,只有一段的话会有不被信任的情况出现,搜索一下证书链应该会有答案
    belin520
        19
    belin520  
       2018-11-19 21:32:54 +08:00 via iPhone
    16 层楼以上没人是证书链不齐的问题
    光嘲讽了??
    Showfom
        20
    Showfom  
       2018-11-19 21:33:46 +08:00
    @belin520 我看到 11 楼就说了啊
    belin520
        21
    belin520  
       2018-11-19 21:51:10 +08:00 via iPhone
    @Showfom 大神好!
    你的 11 楼也有可能不是我的 11 楼哦
    qq286735628
        22
    qq286735628  
       2018-11-19 23:03:40 +08:00
    很大程度是证书链没补齐,看看 .crt 内容有几段?
    likuku
        23
    likuku  
       2018-11-19 23:15:43 +08:00
    11 楼 提到那个也很有可能,假若你站用的在线资源里有非 https 的,那么也会提示不安全。
    必须全站所有引用资源都走 https
    azh7138m
        24
    azh7138m  
       2018-11-19 23:40:45 +08:00   ❤️ 1
    > 就 chrome 左边显示不安全

    我猜是地址栏左边,楼上那些说 '必须全站所有引用资源都走 https' 这个原因的应该是对的。
    楼主应该看一下提问的智慧。
    orangeff
        25
    orangeff  
       2018-11-20 00:14:56 +08:00 via iPhone
    我自己的博客图片外链用 http 也会提示有不安全内容
    trafficMGR
        26
    trafficMGR  
       2018-11-20 00:15:56 +08:00 via Android
    我注意到楼主贴出了如下内容:
    Let's Encrypt
    DST Root CA X3
    这明显只是中间证书,而不是一个完整的域名证书。

    我建议你看看这里面的安装操作: https://github.com/Neilpang/acme.sh/wiki/说明
    yuikns
        27
    yuikns  
       2018-11-20 05:56:22 +08:00
    若是 Ubuntu 14, 试试这个命令:

    certutil -A -n "DST Root CA X3" -t "C,," -i /etc/ssl/certs/DST_Root_CA_X3.pem -d sql:/etc/pki/nssdb
    zhxhwyzh14
        28
    zhxhwyzh14  
       2018-11-20 07:32:47 +08:00 via Android
    我的正常
    ShareDuck
        29
    ShareDuck  
       2018-11-20 08:43:22 +08:00
    你试试使用 fullchain.cer 作为 ssl_certificate。而不是 domain.cer 。
    kjstart
        30
    kjstart  
    OP
       2018-11-20 15:03:15 +08:00
    谢谢大家热情帮忙! 昨晚懒惰了, 今天测试了一下, 是因为我用*.domain.com 的证书给*.sub.domain.com 用了. 这样是不可以的, 又申请了*.sub.domain.com 就可以用了. 我还整理了 ngrok 搭建的简单步骤, 欢迎参考.
    https://github.com/kjstart/ngrok
    sherlockfff
        31
    sherlockfff  
       2022-01-07 20:07:26 +08:00
    @kjstart 确实,我也是同样的问题,没想到泛域名证书“泛”的是直接子域名。无法匹配直接子域名的子域名。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3705 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 00:51 · PVG 08:51 · LAX 16:51 · JFK 19:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.