Letsencrypt сертификаты не валидны в Debian8 и Ubuntu 16.04

0

1

Всем привет! Столкнулся с проблемой при использовании свежих сертификатов LetsEncrypt. На не самых свежих дистрибутивах, но со всеми последними обновлениями, сертификаты не проходят валидацию. При этом на макоси с последними обновлениями все хорошо. Ниже листинг запросов. Openssl относится к сертификату одинаково на всех платформах, а курл отрабатывает только на макоси. Кто-нибудь сталкивался? Куда бежать, что обновлять? Где взять правильные корневые сертификаты?

~$ cat /etc/issue
Ubuntu 16.04.3 LTS \n \l

~$ openssl version
OpenSSL 1.0.2g  1 Mar 2016

~$ dpkg -l|grep ca-certificates
ii  ca-certificates                    20170717~16.04.1 all    Common CA certificates

~$ openssl s_client -servername my.server.ru -connect my.server.ru:443 -showcerts

CONNECTED(00000003)
depth=0 CN = my.server.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = my.server.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=my.server.ru
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
...

~$ curl -I 'https://my.server.ru'
curl: (60) server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
...

~$ cat /etc/issue
Debian GNU/Linux 8 \n \l

~$ openssl version
OpenSSL 1.0.1t  3 May 2016

~$ dpkg -l|grep ca-certificates
ii  ca-certificates  20141019+deb8u3 all Common CA certificates

~$ openssl s_client -servername my.server.ru -connect my.server.ru:443 -showcerts

CONNECTED(00000003)
depth=0 CN = my.server.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = my.server.ru
verify error:num=27:certificate not trusted
verify return:1
depth=0 CN = my.server.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=my.server.ru
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
...

~$ curl -I 'https://my.server.ru'
curl: (60) SSL certificate problem: unable to get local issuer certificate
...

~$ sw_vers
ProductName:	Mac OS X
ProductVersion:	10.13.6
BuildVersion:	17G65

~$ openssl version
OpenSSL 1.0.2o  27 Mar 2018

~$ openssl s_client -servername my.server.ru -connect my.server.ru:443 -showcerts

CONNECTED(00000003)
depth=0 CN = my.server.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = my.server.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=my.server.ru
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
...

~$ curl -I 'https://my.server.ru'
HTTP/2 200
...

Ссылка

Рекомендую почитать про ssl chain.
С другой стороны, вроде как с сего дня для LE это не требуется http://www.opennet.ru/opennews/art.shtml?num=49093 .

Deleted
(07.08.18 13:01:37 MSK)

OpenSSL 1.0.2g

Говорят, что в 1.0.2n эту проблему решили.

stave ★★★★★
(07.08.18 13:33:14 MSK)

Спасибо, ssl chain действительно был не полон. Как правильно выписать сертификат с вайлдкартом

https://itc-life.ru/poluchaem-letsencrypt-wildcard-sertifikat/

autonomous ★★★★★
(07.08.18 14:12:01 MSK) автор топика

Похожие темы