Nginx 중간 인증서를 설치하십시오.

Question

Nginx (중간 레벨 위조)에 중간 인증서를 설치하려고합니다. 지금은 인증서가 제대로 설치되었지만 누락 된 중간 인증서 만 설치되었습니다.

나는 현재 인증서를 중간 물과 연결해야한다는 것을 알았다. 중간 인증서를 추가하는 가장 안전하고 안전한 방법은 무엇입니까?

또한 중간 설치가 실패하면 이전 인증서로 롤백하고 nginx를 다시 부팅 할 수 있습니까? (웹 사이트 사이트가 가동 중이므로 너무 긴 중단 시간을 가질 수 없습니다.)

Answer 1

Nginx는 ssl_certificate과 함께 참조하는 파일의 섹션 인증서가 모두 server 일 것으로 예상합니다. 모든 공급 업체의 중간 인증서와 도메인 인증서를 파일에 넣기 만하면됩니다. 이렇게 보일거야.

-----BEGIN CERTIFICATE----- 
MII... 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
MII... 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
MII... 
-----END CERTIFICATE----- 

내가 로컬 설정 Nginx에 당신을 제안 /etc/hosts에 127.0.0.1 yourdomain.com을 추가하고, 주요 브라우저에서 엽니 다 시도 할 것이다, 반드시 모든 것이 괜찮 만들려면 및 다운 타임을 방지하기 위해. 모든 것이 정확하다는 것을 확인한 후에 프로덕션 서버로 복제 할 수 있습니다.

완료되면 확인을 위해 SSL 검사기 도구 (예 : this one)를 사용하는 것이 좋습니다. 사전 설치된 CA 인증서는 브라우저 및 플랫폼에 따라 다를 수 있으므로 한 OS 또는 제한된 브라우저 세트에서 잘못된 구성 확인을 쉽게 간과 할 수 있습니다.

@Martin는 지적 편집

, 파일의 인증서의 순서는 중요합니다. TLS 1.1 상태의 RFC 4346는 :

이 X.509v3가 인증 시퀀스 (체인)이다. 발신자의 인증서가 목록에 먼저 와야합니다. 다음의 각 인증서 은 그 인증서를 직접 증명해야합니다.

은 따라서 순서는 다음과 같습니다

• 1. 도메인의 인증서
• 2. 공급 업체의 중간 인증서 것을 증명 (1)
• 3. 공급 업체의 중간 인증서 것을 증명 (2)
• ...
• n. (n-1)을 증명하는 공급 업체의 루트 인증서. 클라이언트의 CA 저장소에 포함되어야하므로 선택 사항입니다.