事情是这样的:
我在阿里云申请的免费ssl证书到期了,又重新申请了新的免费证书,支配完毕后浏览器访问 https 网站正常,但是我在远程发布 wordpress 博客时无法提交,显示“unable to verify the first certificate”缺点,一贯不能远程发布。初步判断是证书支配问题,于是从头开始又支配了一遍,问题依旧。
我用curl命令看了一下反馈信息:
curl -I https://baidan.co
返回结果如下:
为获取详细信息,我利用如下命令:
openssl s_client -showcerts -servername baidan.co -connect baidan.co:443
返回结果如下:
初步创造问题:常日情形下终端用户证书采取三级证书,由中间证书签署,凭借着对中间证书的信赖,从而验证用户证书的合法性。比如 baidan.co(Encryption Everywhere DV TLS CA – G1) 签署。这个中间证书的合法性由顶级证书 (DigiCert ) 验证。至于顶级证书,没有上级证书来验证,它们被有限列举、直接内置在设备中,并由各大浏览器厂商和操作系统厂商来对其进行合规验证。
这次缺点是 curl 在证书验证过程中,只拿到了 baidan.co 的证书,它的签发方 Encryption Everywhere DV TLS CA – G1 并没有内置在设备中,无法形成一个合理的证书链。
以是办理办法便是构建完全的证书链,让 baidan.co 证书的合法性得到验证,那么完善证书链即可通过握手流程。
MySSL.com 供应了证书链修复工具,可以基于终端用户证书,结合网络上的公开信息,构建一条完全的证书链。
网址:https://myssl.com/chain_download.html
我的做事器用的是nginx ,证书是pem格式,后缀名直接修正成pem格式,在做事器上保存,并更换掉原来颁发的pem证书。
代码如下:
curl https://myssl.com/api/v1/get_chain/D369872473E567440711C0FBC6382EC3D5DE7542 > full_chain_rsa.pem
完善证书链后,重新加载 NGINX 做事,再次考试测验利用 curl 要求获取了正常的相应。
重新输入:
curl -I https://baidan.co
问题办理,此时远程发布博客成功!
