Google internet authority g3 сертификат

Содержание

Как исправить ошибки SSL-сертификата Google Chrome за несколько простых шагов

Google internet authority g3 сертификат
Нет ничего более неприятного, чем ошибка сертификата SSL, как для владельцев веб-сайтов, так и для пользователей. Если вы уверены, что выполнили все необходимые шаги по установке SSL-сертификата только для того, чтобы Chrome сообщил вам, что что-то не так с безопасностью вашего сайта, у вас может возникнуть соблазн поднять руки и полностью сдаться.

Пользователей раздражает попытка получить доступ к сайту только для того, чтобы получить сообщение «Ваше соединение не защищено» вместе с предупреждением «Небезопасно» в адресной строке. Здесь следует подчеркнуть, что это сообщение предназначено исключительно для вашей защиты и в большинстве случаев является законным.

Тем не менее, иногда на стороне пользователя может возникнуть проблема, которая может вызвать это предупреждение. К счастью, решить эти проблемы не так уж сложно. Иногда на самом деле это довольно просто.

В этой статье блога вы узнаете, почему в Google Chrome может отображаться сообщение об ошибке сертификата SSL, а также о том, как их исправить, независимо от того, являетесь ли вы владельцем веб-сайта или пользователем.

Исправление ошибок SSL в Google Chrome для владельцев сайтов

Существует ряд причин, по которым SSL-сертификат вашего веб-сайта может считаться недействительным в Google Chrome. Некоторые причины:

  1. Ошибки в процессе установки сертификата, нехватает промежуточного сертификата, например;
  2. Срок действия вашего SSL-сертификата истек; 
  3. Ваш SSL-сертификат действителен только для основного домена, а не для поддоменов; 
  4. У вас установлен самозаверенный SSL-сертификат, или вы не приобрели его в доверенном Центре сертификации; 

Как исправить ошибки сертификата SSL в Chrome для пользователей

Для тех, кто пытается получить доступ к явно небезопасному веб-сайту, есть несколько вещей, которые вы можете сделать в своем браузере и операционной системе, чтобы решить проблему:

  1. Проверьте время и дату: нет, только не на ваших наручных часах или календаре, а на операционной системе вашего устройства. Это может показаться незначительным соображением, но если время вашего устройства полностью расходится со сроком действия сертификата SSL, он будет считаться устревшим. Если это проблема, сообщение может также сказать «NET :: ERR_CERT_DATE_INVALID».
  2. Очистить кеш для этого веб-сайта: файлы cookie веб-сайта могут вызывать появление сообщения об ошибке, если, например, в вашем браузере, есть кэшированный старый сертификат SSL для этого веб-сайта. Вы также можете встретить «ERR_TOO_MANY_REDIRECTS» как часть вашего сообщения об ошибке.
    Очистить файлы cookie в Chrome очень просто, нажмите Ctrl + Shift + Del или:
  • Откройте Chrome и щелкните меню (три вертикальные точки в правом верхнем углу браузера).
  • В раскрывающемся меню щелкните Параметры. В конце страницы нажмите «Дополнительно».
  • В поле «Конфиденциальность и безопасность» выберите «Очистить данные просмотра».
  • Здесь вы можете удалить все данные о просмотре или только файлы cookie, относящиеся к сайту, который вы пытаетесь посетить.
  1. Обновите Chrome и вашу операционную систему. Иногда ошибка сертификата SSL может быть просто связана с использованием устаревшей версии Chrome. Чтобы убедиться, что у вас последняя версия, щелкните меню. Если у вас старая версия браузера, вы увидите кнопку «Обновить Google Chrome». Пока вы работаете, убедитесь, что на вашем устройстве установлена ​​самая последняя версия операционной системы, так как это также может способствовать появлению сообщений об ошибках (например, когда не установлены, обновлены корневые сертификаты центров сертификации).
  2. Отключить расширения Chrome: иногда настройки определенных расширений браузера могут мешать доступу к веб-странице. Чтобы узнать, работает ли это, когда вы отключите свои расширения, снова зайдите в настройки. Щелкните Расширения в меню слева. Отключите ваши расширения и перезапустите браузер.
  3. Проверьте брандмауэр / антивирусное программное обеспечение: иногда настройки антивирусного программного обеспечения могут рассматривать определенный трафик HTTPS, как подозрительный. Чтобы узнать, не мешает ли это вашему доступу к определенным сайтам, вы можете либо полностью отключить брандмауэр или антивирус, либо (если он имеет этот параметр) отключить сканирование SSL. Этот вариант следует использовать только в том случае, если вы уверены, что веб-сайт, к которому вы пытаетесь получить доступ, действительно безопасен.

Если вы попробовали все эти исправления и ничего не помогло, скорее всего, это реальная проблема с сертификатом SSL самого веб-сайта, как описано в предыдущем разделе. В этом случае вы также можете получить одно из следующих сообщений:

Эта страница недоступна –

  • NET :: ERR_CERT_COMMON_NAME_INVALID;
  • NET :: ERR_CERT_REVOKED;
  • NET :: ERR_CERT_AUTHORITY_INVALID;
  • ERR_SSL_WEAK_EPHEMERAL_DH_KEY;
  • ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Если вы все еще хотите получить доступ к сайту, у вас есть два варианта:

  1. Свяжитесь с веб-мастером или владельцем веб-сайта и сообщите им, что с их сертификатом SSL возникла проблема.
  2. (Мы категорически не рекомендуем этот.) Продолжайте переходить на сайт с небезопасным соединением на свой страх и риск.

ИТОГ

Сообщения об ошибках сертификата SSL Chrome могут быть проблемой, но очень часто можно быстро найти решение, особенно со стороны пользователя. Если вы недавно приобрели и установили SSL-сертификат для своего веб-сайта у нас, который вызывает сообщения об ошибках в Chrome и не можете понять причину, обратитесь в нашу службу технической поддержки.

Источник: https://www.emaro-ssl.ru/blog/kak-ispravit-oshibki-ssl-sertifikata-google-chrome-za-neskolko-prostykh-shagov/

Publishers – Google Internet Authority G3 Certificate – 77C2B8509A677676B12DC286D083A07EA67EBA4B

Google internet authority g3 сертификат

Google Internet Authority G3 Certificate – 77C2B8509A677676B12DC286D083A07EA67EBA4B

A

Certificate Summary:

Subject: Google Internet Authority G3
Issuer: GlobalSign
Expiration: 2021-12-15 00:00:42 UTC
Key Identifier: 77:C2:B8:50:9A:67:76:76:B1:2D:C2:86:D0:83:A0:7E:A6:7E:BA:4B

Download and Install

Received at FYIcenter.com on: 2018-10-21

Certificate Detailed Information:

Name:/C=US/O=Google Trust Services/CN=Google Internet Authority G3 Subject: Common Name (CN): Google Internet Authority G3 Organizational Unit Name (OU): Organization Name (O): Google Trust Services Locality Name (L): State or Province Name (ST): Country Name (C): US Email Address: Issuer: Common Name (CN): GlobalSign Organizational Unit Name (OU): GlobalSign Root CA – R2 Organization Name (O): GlobalSign Locality Name (L): State or Province Name (ST): Country Name (C): Email Address: Valid From: Thu, 15 Jun 2017 00:00:42 +0000 Valid To: Wed, 15 Dec 2021 00:00:42 +0000 Serial Number: 149685795415515161014990164765 Hash: 6a909d98 Version: 2 Signature Type: sha256WithRSAEncryption Purposes: SSL client SSL server Netscape SSL server S/MIME signing S/MIME encryption CRL signing Any Purpose OCSP helper Time Stamp signing Extensions: keyUsage: Digital Signature, Certificate Sign, CRL Sign extendedKeyUsage: TLS Web Server Authentication, TLS Web Client Authentication basicConstraints: CA:TRUE, pathlen:0 subjectKeyIdentifier: 77:C2:B8:50:9A:67:76:76:B1:2D:C2:86:D0:83:A0:7E:A6:7E:BA:4B authorityKeyIdentifier: keyid:9B:E2:07:57:67:1C:1E:C0:6A:06:DE:59:B4:9A:2D:DF:DC:19:86:2E authorityInfoAccess: OCSP – URI:http://ocsp.pki.goog/gsr2 crlDistributionPoints: Full Name: URI:http://crl.pki.goog/gsr2/gsr2.crl certificatePolicies: Policy: 2.23.140.1.2.2 CPS: https://pki.goog/repository/

Certificate in PEM Format:

—–BEGIN CERTIFICATE—–MIIEXDCCA0SgAwIBAgINAeOpMBz8cgY4P5pTHTANBgkqhkiG9w0BAQsFADBMMSAwHgYDVQQLExdHbG9iYWxTaWduIFJvb3QgQ0EgLSBSMjETMBEGA1UEChMKR2xvYmFsU2lnbjETMBEGA1UEAxMKR2xvYmFsU2lnbjAeFw0xNzA2MTUwMDAwNDJaFw0yMTEyMTUwMDAwNDJaMFQxCzAJBgNVBAYTAlVTMR4wHAYDVQQKExVHb29nbGUgVHJ1c3QgU2VydmljZXMxJTAjBgNVBAMTHEdvb2dsZSBJbnRlcm5ldCBBdXRob3JpdHkgRzMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDKUkvqHv/OJGuo2nIYaNVWXQ5IWi01CXZaz6TIHLGp/lOJ+600/4hbn7vn6AAB3DVzdQOts7G5pH0rJnnOFUAK71G4nzKMfHCGUksW/mona+Y2emJQ2N+aicwJKetPKRSIgAuPOB6Aahh8Hb2XO3h9RUk2T0HNouB2VzxoMXlkyW7XUR5mw6JkLHnA52XDVoRTWkNty5oCINLvGmnRsJ1zouAqYGVQMc/7sy+/EYhALrVJEA8KbtyX+r8snwU5C1hUrwaW6MWOARa8qBpNQcWTkaIeoYvy/sGIJEmjR0vFEwHdp1cSaWIr6/4g72n7OqXwfinu7ZYW97EfoOSQJeAzAgMBAAGjggEzMIIBLzAOBgNVHQ8BAf8EBAMCAYYwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUwMCMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0OBBYEFHfCuFCaZ3Z2sS3ChtCDoH6mfrpLMB8GA1UdIwQYMBaAFJviB1dnHB7AagbeWbSaLd/cGYYuMDUGCCsGAQUwEBBCkwJzAlBggrBgEQcwAYYZaHR0cDovL29jc3AucGtpLmdvb2cvZ3NyMjAyBgNVHR8EKzApMCegJaAjhiFodHRwOi8vY3JsLnBraS5nb29nL2dzcjIvZ3NyMi5jcmwwPwYDVR0gBDgwNjA0BgZngQwBAgIwKjAoBggrBgEQcCARYcaHR0cHM6Ly9wa2kuZ29vZy9yZXBvc2l0b3J5LzANBgkqhkiG9w0BAQsFAAOCAQEAHLeJluRT7bvs26gyAZ8so81trUISd7O45skDUmAge1cnxhG1P2cNmSxbWsoiCt2eux9LSD+PAj2LIYRFHW31/6xoic1k4tbWXkDCjir37xTTNqRAMPUyFRWSdvt+nlPqwnb8Oa2I/maSJukcxDjNSfpDh/Bd1lZNgdd/8cLdsE3+wypufJ9uXO1iQpnh9zbuFIwsIONGl1p3A8CgxkqI/UAih3JaGOqcpcdaCIzkBaR9uYQ1X4k2Vg5APRLouzVy7a8I6wuy6pm+T7HT4LY8ibS5FEZlfAFLSW8NwsVz9SBK2Vqn1N0PIMn5xA6NZVc7o835DLAFshEWfC7TIe3g==—–END CERTIFICATE—–

Related Certificate(s):

ID Subject Issuer Key Identifier Relation Google Intern… GlobalSign 77C2B8509A677… This Cert ————————————————–332 GlobalSign GlobalSign 8FF04B7FA82E4… Parent Cert339 GlobalSign GlobalSign 9BE20757671C1… Parent Cert6964 GlobalSign GlobalSign 3DE629489BEA0… Parent Cert9695 GlobalSign GlobalSign Ro… 8FF04B7FA82E4… Parent Cert3295 *.google.com Google Intern… 7E49A2ED80009… Child Cert3349 mail.google.com Google Intern… EE5312A275E03… Child Cert3363 www.google.com Google Intern… 5317B64687BD0… Child Cert3406 *.google.com.sa Google Intern… 650883B1F6908… Child Cert3446 www.google.com Google Intern… 3CBEAFE8226CB… Child Cert3460 *.googleapis.com Google Intern… 41231D4737405… Child Cert3888 www.google.com Google Intern… FDEA52AD33A… Child Cert3962 *.google.com Google Intern… 2844FE0504ECD… Child Cert4642 www.google.com Google Intern… EB00B5B6A2D7D… Child Cert4803 misc.google.com Google Intern… 1857756282168… Child Cert5066 www.google.com Google Intern… EA5DBBDF8F4B5… Child Cert5636 www.google.com Google Intern… 828854974E1E3… Child Cert5942 *.business.site Google Intern… C25C37A74D52B… Child Cert6159 www.google.com Google Intern… 813551F674672… Child Cert6356 www.google.com Google Intern… FC93D70CECFC9… Child Cert6530 www.google.com Google Intern… 5DDE153B7A125… Child Cert6614 *.google.com Google Intern… FC1390E218473… Child Cert6699 www.google.com Google Intern… 5279E90D42CE2… Child Cert

Public Key Detailed Information:

Key Details: Type: RSA Size (bits): 2048 Modulus (n): ca524bea1effce246ba8da721868d5565d0e485a2d3509765acfa4c81cb1a9fe 5389ad34ff885b9be7e80001dc35737503adb3b1b9a47d2b2679ce15400a ef51b89f328c7c7086524b16fe6a276be6367a6250d8df9a89cc0929eb4f2914 88800b8f381e806a187c1dbd973b787d4549364f41cda2e076573c68317964c9 6ed7511e66c3a2642c79c0e765c35684535a436dcb9a0220d2ef1a69d1b09d73 a2e02a60655031cfb32f1188402eb549100f0a6edc97fabf2c9f05390b58 54af0696e8c58e0116bca81a4d41c59391a21ea18bf2fec1882449a3474bc513 01dda7571269622bebfe20ef693aa5f07e29eeed9616f7b11fa0e49025e033 Public Exponent (e): 65537 (0x010001)

Public Key in PEM Format:

—–BEGIN PUBLIC KEY—–MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAylJL6h7/ziRrqNpyGGjVVl0OSFotNQl2Ws+kyByxqf5TifutNP+IW5+75+gAAdw1c3UDrbOxuaR9KyZ5zhVACu9RuJ8yjHxwhlJLFv5qJ2vmNnpiUNjfmonMCSnrTykUiIALjzgegGoY29lzt4fUVJNk9BzaLgdlc8aDF5ZMlu11EeZsOiZCx5wOdlw1aEU1pDbcuaAiDS7xpp0bCdc6LgKmBlUDHP+7MvvxGIQC61SRAPCm7cl/q/LJ8FOQtY8GlujFjgEWgaTUHFk5GiHqGL8v7BiCRJo0dLxRMB3adXEmliK+v+IO9p+zql8H4p7u2WFvexH6DkkCXgMwIDAQAB—–END PUBLIC KEY—–

Identical or Similar Keys: We found that the public key in this certificate matches key(s) recorded previously.

ID Type Size Pri/Pub Key Identifier Date Comparison 3297 RSA 2048 Public 77C2B8509A677… 2018-10-21 Same Key ID

Источник: http://certificate.fyicenter.com/3296_Google_Internet_Authority_G3_Certificate-77C2B8509A677676B12DC286D083A07EA67EBA4B.html

Настройка SSL под pound, nginx, apache и IIS

Google internet authority g3 сертификат

Несколько дней тому назад нужно было продлить сертификат для одного домена, как раз вспомнил как это делается. В связи с этим решил написать короткую заметку о проделанной работе, а именно установке godaddy SSL сертификатов на pound, apache и nginx под операционной системой Ubuntu 12.04.

1. Генерация CSR

Если ваш домен хоститься на godaddy серверах, то заморочек с продлением и покупкой сертификатов не будет. В моем случаи домен хоститься на серверах нашей фирмы, в связи с чем нужно генерировать csr(certificate signing request).

Certificate signing request – это файлик, который являет собой запрос на получение сертификата и содержит в закодированном виде нужную для центров сертификации информацию и открытый (публичный) ключ. Для генерации csr нужен закрытый(приватный) ключ, который генерируется на стороне сервера, где будет устанавливаться сертификат конкретного домена.

Длина ключа должна быть не менее 2048 bit.

Приступаем к генерации приватного ключа. Для этого будем использовать, обновленный после фикса Heartbleed уязвимости, openssl.

root# openssl genrsa -des3 -out somedomain.com.key 2048 Generating RSA private key, 2048 bit long modulus ……….+++ ……………………………………………………..+++ e is 65537 (0x10001) Enter pass phrase for somedomain.com.key: Verifying – Enter pass phrase for somedomain.com.key: На этом этапе нужно будет ввести пароль на приватный ключ. Хочу заметить, что после получение нужных сертификатов от godaddy, нужно будет убрать пароль с ключа, так как при каждой перезагрузке веб-сервера он будет запрашиваться и мне влом каждый раз его вводить (но вы можете оставить).

После генерации ключа можно перейти к генерации csr запроса. При генерации csr необходимо заполнить латинскими символами следующие поля:

  • Наименование страны (Country Name) – две прописных буквы кода страны;
  • Страна, город или провинция (State or Province Name);
  • Город или населенный пункт (Locality Name);
  • Название организации (Organization Name);
  • Название отрасли организации (Organizational Unit Name) – к примеру “IT”;
  • Доменное имя (Common Name) – somedomain.com для одного домена, *.somedomain.com – для домена и поддоменов(wildcard).
  • Почта (Email Address)

Приступаем.

root# openssl req -new -key somedomain.com.key -out somedomain.com.csr -sha512 Enter pass phrase for somedomain.com.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. —– Country Name (2 letter code) [AU]:IL State or Province Name (full name) [Some-State]:Israel Locality Name (eg, city) []:Rehovot Organization Name (eg, company) [Internet Widgits Pty Ltd]:Some company Ltd Organizational Unit Name (eg, section) []:IT Common Name (e.g. server FQDN or YOUR name) []:*.somedomain.com Email Address []:support@somedomain.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

На два последних запроса просто жмем Enter. Хочу заметить, что challenge password совсем не связан с запросом пароля, который вылазит при рестарте веб-сервера(nginx,pound,apache,etc.), этот атрибут большинство центров сертификации игнорят, godaddy – не исключение. Детали можно почитать в rfc2985.

2. Установка сертификатов

Теперь у нас есть тело запроса, которое нужно закинуть в форму на сайте godaddy. Просто делаем cat somedomain.com.csr, копируем и вставляем на сайте. Далее ждем, когда CA все проверит и утвердит(подпишет) сертификат. Если все прошло успешно – будет доступен для загрузки архив с двумя сертификатами:

  • Промежуточный сертификат (intermediate certificate) — это одно из звеньев в цепочке доверия, которое позволяет связать Ваш личный SSL сертификат с корневым центром сертификации.
  • Подписанный сертификат (signed certificate) — это наш подписанный(утвержденный) сертификат.

Промежуточный сертификат нужен, чтобы связать наш подписанный сертификат с центром сертификации, включенным в список доверенных в браузере или устройстве. К примеру возьмем goggle.com и посмотрим на информацию об их сертификате:

Здесь Google Internet Authority G2 – это промежуточный сертификат между GeoTrust Global CA и доменом *.google.com.ua.

Далее скачиваем архив и распакуем его на сервере где создавали приватный ключ.

root# unzip a8xq4l3hygnj3xd4rz0svlbzmorv1m.zip f5259a75c35b14bf.crt gd_bundle-g2-g1.crt root# ls -1 a8xq4l3hygnj3xd4rz0svlbzmorv1m.zip f5259a75c35b14bf.crt gd_bundle-g2-g1.crt somedomain.com.key somedomain.com.csr

Как видим у нас есть:
1. f5259a75c35b14bf.crt – наш подписанный сертификат;
2. gd_bundle-g2-g1.crt – промежуточный сертификат;
3. somedomain.com.key – наш приватный ключ, которым мы подписали наш сертификат;
4. somedomain.com.csr – наш запрос на генерацию сертификата.

Из всех файлов нас интересуют crt-файлы и key.

2.1 Убираем пароль из SSL ключа

root# mv somedomain.com.key somedomain.com.key.orig root# openssl rsa -in somedomain.com.key.orig -out somedomain.com.key

На всякий пожарный мы сделали резервную копию оригинального ключа. Теперь можно приступить к генерации ключей и настройки pound, apache и nginx.

2.1.1 Установка SSL-сертификата для pound

Для pound нам нужно сгенерировать pem ключ, который состоит из промежуточного сертификата, нашего подписанного сертификата и секретного ключа.

root# cat somedomain.com.key f5259a75c35b14bf.crt gd_bundle-g2-g1.crt > somedomain.com.pem

Теперь в настройках pound прописать путь к ключу и сделать рестарт

root# vim /etc/pound/pound.cfg … Cert “/path/to/your/ssl/somedomain.com.pem” … root# /etc/init.d/pound restart

Посмотреть информацию об новом сертификате можно из консоли используя curl, секция Server certificate. К примеру:

root# curl -v https://google.com.ua 2>&1 | grep -A6 'Server certificate' * Server certificate: * subject: C=US; ST=California; L=Mountain View; O=Google Inc; CN=*.google.com.ua * start date: 2014-12-10 12:01:05 GMT * expire date: 2015-03-10 00:00:00 GMT * subjectAltName: google.com.ua matched * issuer: C=US; O=Google Inc; CN=Google Internet Authority G2 * SSL certificate verify ok.

2.1.2 Установка SSL-сертификата для nginx

Для nginx нам нужно сгенерировать crt файлик, который состоит из промежуточного сертификата и нашего подписанного сертификата (из двух файлов, которые били в скаченном архиве).

root# cat f5259a75c35b14bf.crt gd_bundle-g2-g1.crt > somedomain.com.crt

Потом, в конфигурациях виртуального хоста nginx нужно прописать путь к этому файлу и приватному ключу и сделать рестарт nginx.

root# vim /etc/nginx/sites-enabled/somedomain.com … ssl on; ssl_certificate /path/to/your/ssl/somedomain.com.crt; ssl_certificate_key /path/to/your/ssl/somedomain.com.key; … root# /etc/init.d/nginx restart

2.1.3 Установка SSL-сертификата для apache

Для генерации SSL ключа под apache вообще не нужно делать никаких лишних движений, просто прописать пути к приватному ключу, промежуточному и нашему подписанному сертификате в настройках виртуального хоста apache.

root# vim /etc/apache2/sites-enabled/somedomain.com … SSLEngine On SSLCertificateFile /path/to/your/ssl/f5259a75c35b14bf.crt SSLCertificateKeyFile /path/to/your/ssl/somedomain.com.key SSLCertificateChainFile /path/to/your/ssl/gd_bundle-g2-g1.crt … root# /etc/init.d/apache2 restart

2.1.4 Установка SSL-сертификата для IIS

В нашем случаи будет установлен SSL сертификат для IIS 10 – это у нас Microsoft Windows server 2016. IIS немного отличается от всего, когда генерируется csr – автоматически создается секретный ключ.

В нашем случаи csr был сгенерирован не на IIS сервере (в принципе, как и наш секретный ключ), а используя инструментом openssl. И чтобы добавить сгенерированный вне IIS-a сертификат, мы можем создать pfx файлик, который держит в себе и сертификат и ключ.

Чтобы его сгенерировать нужна всего одна команда.

root# openssl pkcs12 -inkey somedomain.com.key -in f5259a75c35b14bf.crt -export -out somedomain.com.pfx

На этом шаге можно ввести пароль на pfx файл или просто нажать два раза Enter.
Чтобы добавить данный сертификат в IIS 10 нужно просто его экспортировать. Для этого идем в Internet Information Services (IIS) Manager. Выбираем наш сервер. Находим Sever Certificates фичу и дважды на нее кликаем.

Справа сверху видим Действие Import… и кликаем на него. После чего, в новом открывшимся окне вставляем путь к нашему pfx файлику (вводим пароль, если он был назначен), выбираем сторедж сертификатов, ставим галочку Allow this certificate to be exported и жмем ОК.

Осталось только связать сайт с сертификатом. Переходим на Sites, выбираем нужные сайт. Справа сверху в секции Edit Site нажимаем на Bindings… В появившимся окне жмем на кнопку Add… В следующем окне выбираем тип биндинга – https. Прописываем имя хоста и выбираем SSL certificate из списка и жмем ОК.

3. Дополнительная информация

Если продлеваете сертификат и забыли, какие данные вводили при генерации csr, можно использовать openssl для просмотра информации о старом сертификате.

root# openssl req -in oldsomedomain.com.csr -noout -text Certificate Request: Data: Version: 0 (0x0) Subject: C=IL, ST=Israel, L=Rehovot, O=Some company Ltd, OU=IT, CN=*.somedomain.com/emailAddress=support@somedomain.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) …

3.2 Генерация CSR

Когда имеется много разных доменов и нужно часто создавать SSL ключи – интерактивный режим становиться выносом мозга и потерянным временем. Openssl позволяет генерировать csr запрос не только в интерактивном режиме. Наведу пару дополнительных способов генерации csr-файла.

3.2.1.1 С созданием ключа

Генерация csr-файла и ключа в интерактивном режиме одной командой без запроса на ввод пароля(с созданием ключа на лету). Если убрать опцию “-nodes”, то нужно будет задать пароль на ключ.

root# openssl req -nodes -newkey rsa:2048 -keyout site.com.key -out site.com.csr

3.2.1.2 С предварительно созданным ключом

Генерация csr-файла на основе предварительно созданного ключа в интерактивном режиме. Если ключ создавался с паролем, то его нужно будет ввести.

root# openssl req -new -key site.com.key -out site.com.csr

3.2.2.1 С созданием ключа

Генерация csr-файла и ключа в не интерактивном режиме одной командой без запроса на ввод пароля(с созданием ключа на лету). Если убрать опцию “-nodes”, то нужно будет задать пароль на ключ.

root# openssl req -nodes -newkey rsa:2048 -keyout site.com.key -out site.com.csr -subj '/C=IL/ST=Israel/L=Rehovot/O=Some Company Ttd/OU=IT/CN=*.site.com/emailAddress=support@site.com'

3.2.2.2 С предварительно созданным ключом

Генерация csr-файла на основе предварительно созданного ключа в не интерактивном режиме. Если ключ создавался с паролем, то его нужно будет ввести.

root# openssl req -new -key site.com.key -out site.com.csr -subj '/C=IL/ST=Israel/L=Rehovot/O=Some Company Ttd/OU=IT/CN=*.site.com/emailAddress=support@site.com'

3.3 Генерация самоподписного сертификата

Когда нужно тестировать SSL для какого-то локального сайта, можно использовать самоподписний сертификат, который позволит вам полноценно тестировать SSL, но будут вылазить сообщения, что сайт является не доверенным (сертификат липовый).

3.3.1.1 С созданием ключа

Генерация самоподписного сертификата с приватным ключом в интерактивном режиме, т.е. нужно будет вводит всю csr информацию без запроса на ввод пароля (с созданием ключа на лету). Если убрать опцию “-nodes”, то нужно будет задать пароль на ключ

root# openssl req -new -newkey rsa:2048 -keyout site.com.key -nodes -x509 -days 365 -out site.com.crt

3.3.1.2 С предварительно созданным ключом

Генерация самоподписного сертификата на основе предварительно созданного ключа в интерактивном режиме. Если ключ создавался с паролем, то его нужно будет ввести.

root# openssl req -new -key site.com.key -days 365 -x509 -out site.com.crt

3.3.2.1 С созданием ключа

Генерация самоподписного сертификата с приватным ключом в не интерактивном режиме без всяких вопросов и запроса на ввод пароля (с созданием ключа на лету). Если убрать опцию “-nodes”, то нужно будет задать пароль на ключ.

root# openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -subj “/C=IL/ST=Israel/L=Rehovot/O=Some Company Ttd/OU=IT/CN=*.site.com/emailAddress=support@site.com ” -keyout site.com.key -out site.com.crt

3.3.2.2 С предварительно созданным ключом

Генерация самоподписного сертификата на основе предварительно созданного ключа в не интерактивном режиме. Если ключ создавался с паролем, то его нужно будет ввести.

root# openssl req -new -key site.com.key -days 365 -x509 -subj “/C=IL/ST=Israel/L=Rehovot/O=Some Company Ttd/OU=IT/CN=*.site.com/emailAddress=support@site.com ” -out site.com.crt

Вот и все.

Источник: http://sysadm.pp.ua/linux/shifrovanie/pound-apache-nginx-ssl-setup.html

Ошибка

Google internet authority g3 сертификат

Доброго дня!

Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.

С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов – обеспечивает нашу безопасность), но с другой – подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google).

Суть происходящего, и что это значит?

Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ (сертификат) о том, что сайт является подлинным (а не фейк или клон чего-то там…). Кстати, если с таким сайтом все хорошо, то браузеры их помечают “зеленым” замочком: на скрине ниже показано, как это выглядит в Chrome.

Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.), так и вообще кто-угодно. Разумеется, если браузер и ваша система “не знает” того, кто выпустил сертификат (или возникает подозрение в его правильности) – то появляется подобная ошибка.

Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.

Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, и многих других. Их же вы не откажетесь посещать?).

*

Как устранить ошибку

1) Обратите внимание на адрес сайта

Первое, что сделайте – просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL).

Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время).

Попробуйте посетить другие сайты, если с ними все OK – то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.

Пример ошибки “Сертификат безопасности сайта не является доверенным”

Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете – то высока вероятность проблемы в вашей системе…

2) Проверьте дату и время, установленные в Windows

Второй момент – подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по “времени” в панели задач Windows (в правом нижнем углу экрана). См. скрин ниже.

Настройка даты и времени

После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.

Также обращаю внимание на то, что, если у вас постоянно сбивается время – вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую “таблетку”, благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).

Батарейка на материнской плате ПК

3) Попробуйте провести обновление корневых сертификатов

Еще один вариант, как можно попробовать решить эту проблему – установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/

4) Установка “доверенных” сертификатов в систему

Этот способ хоть и рабочий, но хотелось бы предупредить, что он “может” стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.

Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority.

Скачать GeoTrust Primary Certification Authority можно с сайта: http://www.geotrust.com/resources/root-certificates/index.html

Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.

Кстати, чтобы скачать GeoTrust Primary Certification Authority:

  1. нажмите правой кнопкой мышки по ссылке download и выберите вариант “сохранить ссылку как…”;

    Сохранить ссылку как…

  2. далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.

    Файл с расширением PEM

Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:

  1. сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;
  2. должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку “Доверенные корневые центры сертификации/сертификаты”, щелкнуть по ней правой кнопкой мышки и выбрать “Все задачи – импорт”.

    Импорт сертификата

  3. далее запустится мастер импорта сертификатов. Просто жмем “Далее”.

    Мастер импорта сертификатов

  4. после нажмите кнопку “Обзор” и укажите ранее загруженный нами сертификат. Нажмите “Далее” (пример показан ниже);

    Указываем сертификат, который загрузили

  5. в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите “Далее”.

    Поместить сертификаты в доверенные. Далее

  6. в следующем шаге вы должны увидеть, что импорт успешно завершен. Собственно, можно идти проверять, как будет отображаться сайт в браузере (может потребоваться перезагрузка ПК).

5) Обратите внимание на антивирусные утилиты

В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка…

Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже).

Avast – основные настройки (отключение сканирование https трафика)

*

На этом у меня всё…

За дополнения по теме – отдельное мерси!

Всего доброго!

RSS  (как читать Rss)

Полезный софт:

  • -Монтаж
  • Отличное ПО для начала создания своих собственных видеороликов (все действия идут по шагам!). сделает даже новичок!

  • Ускоритель компьютера
  • Программа для очистки Windows от мусора (ускоряет систему, удаляет мусор, оптимизирует реестр).

Источник: https://ocomp.info/sertifikat-sayta-ne-doverennyi.html

Как устранить ошибку: «Этот сайт не может обеспечить безопасное соединение»?!

Google internet authority g3 сертификат

В жизни довольно часто встречаются ситуации, когда хочешь зайти на какой-нибудь сайт, а в ответ видишь белый экран с надписью: “Этот сайт не может обеспечить безопасное соединение”. И все тупик, несмотря на то, что вы уверены в безопасности сайта.

Например, не так давно я столкнулся с данной ошибкой при попытке перейти по ссылке на сайт Яндекс.Диск для того, чтобы скачать документ, который выслала мне моя знакомая. То есть я уверен, что сайт и документ не содержат вредоносных кодов, а вот мой компьютер в этом видимо сомневался.

Значит будем его переубеждать! Для этого существует несколько способов. А вот какой поможет исправить ошибку именно вам никто сказать не сможет, поэтому придется потратить немного времени на решение данной проблемы.

Но, для начала я вам советую попробовать перейти по ссылке с другого браузера и даже устройства. Это необходимо для того, чтобы убедиться в том, что проблема кроется именно в настройках компьютера, а не в настройках браузера или неисправности сервера сайта.

Если на смартфоне ссылка открывается без проблем, то тогда начнем экспериментировать на компьютере:

1) Полностью очищаем кэш и куки браузера, а также SSL кэш.

Кэш и куки вашего браузера могут стать причиной возникновения ошибок с сертификатами типа SSL.

Если вы используете браузер Google Chrome, то тогда достаточно просто на клавиатуре нажать сочетание клавиш “Ctrl” + “Shift” + “Delete” и моментально в новой вкладке браузера откроется пункт “Очистить историю” из меню “Настройки”.

Вам остается только установить промежуток времени “Все время” и нажать кнопку “Удалить данные”.

Перезагружаем браузер и пробуем снова перейти по нужной ссылке.

Если снова в доступе отказано, тогда пробуем очистить SSL кэш в самой операционной системе Windows:

  • Заходим в меню “Пуск” и находим пункт “Панель управления”. Нажимаем на него один раз левой кнопкой мыши.
  • В окне “Панель управления” находим “Свойства обозревателя”.
  • Стандартно открывается вкладка “Общие”, а вам нужно переключиться на вкладку “”. Там и находится кнопка “Очистить SSL”.
  • После выполнения операции компьютер выдаст всплывающее окно с сообщением, что SSL-кэш успешно очищен.
  • Снова перезагружаем браузер и пытаемся перейти по ссылке.

2) Отключаем (удаляем) все расширения в браузере.

Одной из причин возникновения ошибки ERR_SSL_PROTOCOL_ERROR могут стать дополнительно установленные расширения в браузере, которые вмешиваются в прохождение трафика до конечного веб-ресурса.

В браузере Google Chrome посмотреть список расширений и отключить (удалить) ненужные можно:

  • Путем ввода команды chrome://extensions/ в адресную строку браузера и нажатия клавиши Enter.
  • В правом верхнем углу браузера кликаем на значок с изображением трех вертикальных точек. Во всплывающем меню находим пункт “Дополнительные инструменты”, затем подпункт “Расширения”.

Если расширение активно, то переключатель горит синим цветом, а если нет – серым. Чтобы включить или выключить то или иное расширение, достаточно один раз левой кнопкой мыши нажать на переключатель. Для удаления расширения достаточно нажать на кнопку “Удалить”.

После зачистки снова перезагружаем браузер и пытаемся зайти на нужный сайт.

3) Изменение настроек антивирусной программы

Если на вашем компьютере установлена антивирусная программа, то она также может являться причиной отказа в доступе к сайту.

Самый простой способ проверить причастность антивируса – это отключить его на время полностью или все его компоненты защиты. Перезагружаем браузер и пытаемся снова зайти на сайт.

4) Проверяем правильность времени и даты на компьютере

Если у вас на компьютере дата и время установлены неправильно, то сайт также может не загрузиться, так как при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

5) Отключаем поддержку протокола QUIC (Quick UDP Internet Connections).

Протокол QUIC позволяет системе намного быстрее открывать соединение и согласовать параметры TLS (HTTPs) при подключении к определенному сайту. То есть протокол обеспечивает более скоростное подключение к сайтам, но иногда именно он может стать причиной возникновения проблем с SSL сертификатами.

Для того, чтобы его отключить необходимо:

  • В адресную строку браузера ввести команду: chrome://flags/#enable-quic и нажать кнопку Enter.
  • В строку поиска вводим фразу: Experimental QUIC protocol
  • Изменяем значение опции Default на Disabled.
  • Перезагружаем браузер и снова пробуем зайти на сайт.

6) Включаем поддержку протоколов TLS и SSL.

TSL и SSL считаются устаревшими сертификатами, поэтому их поддержка может быть просто отключена в настройках операционной системы Windows. Таким образом, разработчик увеличивает уровень безопасности системы, так как старые сертификаты имеют много уязвимостей.

Для того, чтобы включить поддержку устаревших версий сертификатов необходимо:

  • В меню “Пуск” находим пункт “Панель управления” и кликаем на нем один раз левой кнопкой мыши.
  • В диалоговом окне “Панель управления” нужно найти “Свойства обозревателя”.
  • Стандартно открывается вкладка “Общие”, а вам нужно переключиться на вкладку “Дополнительно”.
  • Ставим галочки напротив пунктов “TLS 1.0″, ” Использовать TLS 1.1″, “Использовать TLS 1.2”, “SSL 3.0” и “SSL 2.0”.
  • Нажимаем сначала кнопку “Применить”, а потом кнопку “Ок”.
  • Перезагружаем браузер и делаем очередную попытку перехода на сайт.

7) Понижаем уровень безопасности системы

У операционной системы есть несколько уровней безопасности и если в настройках системы выбран высокий уровень, то некоторые SSL соединения могут блокироваться браузером.

Для того, чтобы это проверить нужно:

  • Снова через меню “Пуск” зайти в “Панель управления”, затем в “Свойства обозревателя”.
  • Вкладку “Общие” меняем на вкладку “Безопасность”.
  • Если у вас стоит “Высокий”, то необходимо передвинуть бегунок на “Выше среднего”.
  • Нажимаем сначала кнопку “Применить”, а потом “Ок”.
  • Снова перезагружаем браузер и делаем попытку захода на сайт.

Сегодня мы с вами рассмотрели не все способы исправления ошибки “этот сайт не может обеспечить безопасное соединение”, но зато самые основные. И я уверен, что один из них обязательно поможет вам при возникновении проблемы.

Спасибо за внимание, надеюсь статья была вам полезна.

Не забываем подписаться на канал “У дяди Васи” и нажимать “Палец вверх”. Поверьте, у меня для вас есть еще масса интересного.

Источник: https://zen.yandex.ru/media/udyadivasi/kak-ustranit-oshibku-etot-sait-ne-mojet-obespechit-bezopasnoe-soedinenie-5cf3c2856d847900afdd48fc

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.