LINUX.ORG.RU
решено ФорумAdmin

Letsencrypt сертификаты не валидны в Debian8 и Ubuntu 16.04

 


0

1

Всем привет! Столкнулся с проблемой при использовании свежих сертификатов LetsEncrypt. На не самых свежих дистрибутивах, но со всеми последними обновлениями, сертификаты не проходят валидацию. При этом на макоси с последними обновлениями все хорошо. Ниже листинг запросов. Openssl относится к сертификату одинаково на всех платформах, а курл отрабатывает только на макоси. Кто-нибудь сталкивался? Куда бежать, что обновлять? Где взять правильные корневые сертификаты?

~$ cat /etc/issue
Ubuntu 16.04.3 LTS \n \l

~$ openssl version
OpenSSL 1.0.2g  1 Mar 2016

~$ dpkg -l|grep ca-certificates
ii  ca-certificates                    20170717~16.04.1 all    Common CA certificates

~$ openssl s_client -servername my.server.ru -connect my.server.ru:443 -showcerts

CONNECTED(00000003)
depth=0 CN = my.server.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = my.server.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=my.server.ru
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
...

~$ curl -I 'https://my.server.ru'
curl: (60) server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
...
~$ cat /etc/issue
Debian GNU/Linux 8 \n \l

~$ openssl version
OpenSSL 1.0.1t  3 May 2016

~$ dpkg -l|grep ca-certificates
ii  ca-certificates  20141019+deb8u3 all Common CA certificates

~$ openssl s_client -servername my.server.ru -connect my.server.ru:443 -showcerts

CONNECTED(00000003)
depth=0 CN = my.server.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = my.server.ru
verify error:num=27:certificate not trusted
verify return:1
depth=0 CN = my.server.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=my.server.ru
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
...

~$ curl -I 'https://my.server.ru'
curl: (60) SSL certificate problem: unable to get local issuer certificate
...
~$ sw_vers
ProductName:	Mac OS X
ProductVersion:	10.13.6
BuildVersion:	17G65

~$ openssl version
OpenSSL 1.0.2o  27 Mar 2018

~$ openssl s_client -servername my.server.ru -connect my.server.ru:443 -showcerts

CONNECTED(00000003)
depth=0 CN = my.server.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = my.server.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=my.server.ru
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
...

~$ curl -I 'https://my.server.ru'
HTTP/2 200
...

OpenSSL 1.0.2g

Говорят, что в 1.0.2n эту проблему решили.

stave ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.