Помилка встановлення нового SSL сертифіката

Ми замінили старий SSL сертифікат на новий підстановочний SSL сертифікат від GoDaddy. Ми видалили цей сертифікат минулого тижня і отримували дзвінки від клієнтів, які намагаються зареєструватися, з тих пір про таку помилку.

enter image description here

We cannot figure out what on earth is going on as we have tested this cert in IE 6,7,8, Chrome, & Firefox without receiving any errors, but we know there is a problem as we continue to get calls. For the record, we do have multiple SSL certificates installed on this box, but are using separate IP addresses to serve them up.

Будь-яка допомога або ідеї були б дуже вдячні.

Дякую,

0

5 Відповіді

$ curl -Iv https://classes.stcharleshealthcare.org/
* About to connect() to classes.stcharleshealthcare.org port 443 (#0)
*   Trying 67.59.90.121... connected
* Connected to classes.stcharleshealthcare.org (67.59.90.121) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
*    subject: serialNumber=ESKZZ-OSKRZAHAnZ8ssPXoULbrv1/Obw; C=US; ST=Oregon; L=Bend; O=St. Charles Medical Center; OU=GT14856843; CN=*.scmc.org
*    start date: 2010-10-10 19:25:39 GMT
*    expire date: 2012-01-13 10:20:49 GMT
*    subjectAltName does not match classes.stcharleshealthcare.org
* Closing connection #0
* SSLv3, TLS alert, Client hello (1):
* SSL peer certificate or SSH remote key was not OK
curl: (51) SSL peer certificate or SSH remote key was not OK

Таким чином, DNS для classes.stcharleshealthcare.org збирається на сервер, який представляє сертифікат SSL для * .scmc.org. Перевірте свої DNS та/або визначення віртуального хоста в Apache.

2
додано
Таким чином, сервер має кілька IP-адрес і кілька SSL-сертифікатів. Я припускаю, що нам потрібно вказати конкретну IP-адресу для кожного з них? Сертифікат scmc в даний час на , тому я припускаю, що нам потрібно переконатися і зробити цей IP-статичний? Крім того, будь-яка ідея, чому ви отримали б невідповідність при виконанні цього завитка, і мій комп'ютер отримує відповідність?
додано Автор Brian Sizemore, джерело
Чи працює режим інкогніто для перевірки цього? Я зробив кілька змін на сервері і спробував інкогніто режим, і це працює, але я дійсно не маю хороший спосіб перевірити цю річ, оскільки я ніколи не міг відтворити його в першу чергу.
додано Автор Brian Sizemore, джерело
Я не пам'ятаю, як Apache визначає, який VirtHost використовувати, хоча я підозрюю, що він буде найбільш специфічним (тобто IP-адресою) до найменшого. Так, так, що визначення VirtualHost буде обслуговувати сертифікат * .scmc.org для всіх вхідних підключень до порту 443. Ви повинні обов'язково вказати IP-адресу у VirtHosts при використанні SSL. Я не знаю, чому ваш комп'ютер відповідає. Кешування? Я іноді використовую інкогнітний режим Chrome, щоб отримати чистий список для такого роду перевірки. Якщо відбулося зміна DNS, локальний кеш DNS все ще може діяти, тоді як інша частина Мережі тягне новий запис.
додано Автор Mahmoodvcs, джерело
Режим анонімного перегляду працює добре для матеріалів на основі веб-переглядача (кеші сторінок, файли cookie тощо). У разі виникнення проблем із DNS, наприклад, якщо дані про застарілі дані знаходяться поза вашим веб-переглядачем, це не допоможе. Зверніть увагу, що я все ще отримую ту саму помилку на своєму завитку. Ще один метод тестування полягає в тому, щоб мати інший комп'ютер в іншій мережі (тобто, використовуючи інший DNS у, скажімо, Starbucks, або вдома, тощо) дивитися на одному сайті. Ви не повинні перевіряти його лише з одного місця.
додано Автор Mahmoodvcs, джерело
$ curl -Iv https://classes.stcharleshealthcare.org/
* About to connect() to classes.stcharleshealthcare.org port 443 (#0)
*   Trying 67.59.90.121... connected
* Connected to classes.stcharleshealthcare.org (67.59.90.121) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
*    subject: serialNumber=ESKZZ-OSKRZAHAnZ8ssPXoULbrv1/Obw; C=US; ST=Oregon; L=Bend; O=St. Charles Medical Center; OU=GT14856843; CN=*.scmc.org
*    start date: 2010-10-10 19:25:39 GMT
*    expire date: 2012-01-13 10:20:49 GMT
*    subjectAltName does not match classes.stcharleshealthcare.org
* Closing connection #0
* SSLv3, TLS alert, Client hello (1):
* SSL peer certificate or SSH remote key was not OK
curl: (51) SSL peer certificate or SSH remote key was not OK

Таким чином, DNS для classes.stcharleshealthcare.org збирається на сервер, який представляє сертифікат SSL для * .scmc.org. Перевірте свої DNS та/або визначення віртуального хоста в Apache.

2
додано
Таким чином, сервер має кілька IP-адрес і кілька SSL-сертифікатів. Я припускаю, що нам потрібно вказати конкретну IP-адресу для кожного з них? Сертифікат scmc в даний час на , тому я припускаю, що нам потрібно переконатися і зробити цей IP-статичний? Крім того, будь-яка ідея, чому ви отримали б невідповідність при виконанні цього завитка, і мій комп'ютер отримує відповідність?
додано Автор Brian Sizemore, джерело
Чи працює режим інкогніто для перевірки цього? Я зробив кілька змін на сервері і спробував інкогніто режим, і це працює, але я дійсно не маю хороший спосіб перевірити цю річ, оскільки я ніколи не міг відтворити його в першу чергу.
додано Автор Brian Sizemore, джерело
Я не пам'ятаю, як Apache визначає, який VirtHost використовувати, хоча я підозрюю, що він буде найбільш специфічним (тобто IP-адресою) до найменшого. Так, так, що визначення VirtualHost буде обслуговувати сертифікат * .scmc.org для всіх вхідних підключень до порту 443. Ви повинні обов'язково вказати IP-адресу у VirtHosts при використанні SSL. Я не знаю, чому ваш комп'ютер відповідає. Кешування? Я іноді використовую інкогнітний режим Chrome, щоб отримати чистий список для такого роду перевірки. Якщо відбулося зміна DNS, локальний кеш DNS все ще може діяти, тоді як інша частина Мережі тягне новий запис.
додано Автор Mahmoodvcs, джерело
Режим анонімного перегляду працює добре для матеріалів на основі веб-переглядача (кеші сторінок, файли cookie тощо). У разі виникнення проблем із DNS, наприклад, якщо дані про застарілі дані знаходяться поза вашим веб-переглядачем, це не допоможе. Зверніть увагу, що я все ще отримую ту саму помилку на своєму завитку. Ще один метод тестування полягає в тому, щоб мати інший комп'ютер в іншій мережі (тобто, використовуючи інший DNS у, скажімо, Starbucks, або вдома, тощо) дивитися на одному сайті. Ви не повинні перевіряти його лише з одного місця.
додано Автор Mahmoodvcs, джерело

Сертифікат був виданий * .scmc.org, ви намагаєтеся захистити сайт, який називається stcharleshealthcare.org. Очевидно, вам потрібен сертифікат, наприклад * .stcharleshealthcare.org

0
додано
You attempted to reach classes.stcharleshealthcare.org, but instead you actually reached a server identifying itself as *.scmc.om

Ви використовуєте сертифікат, який не відповідає вашому домену.

0
додано
You attempted to reach classes.stcharleshealthcare.org, but instead you actually reached a server identifying itself as *.scmc.om

Ви використовуєте сертифікат, який не відповідає вашому домену.

0
додано