Je váš SSL certifikát správně nainstalovaný?
11. 3. 2013 | Jindřich Zechmeister
Instalace SSL certifikátu na server není složitá, ale pro důvěryhodnost certifikátu je nutné dodržet správný postup. Pokud se chcete ujistit, že se tak stalo, a že je váš certifikát správně nainstalovaný, náš návod vám pomůže.
Ověřovač správnosti instalace
Samotné certifikační autority na svých webových stránkách umožňuji provést kontrolu správnosti instalace. Tento nástroj dokáže identifikovat nejčastější chyby a při absenci Intermediate certifikátů vám ty správné přímo nabídne ke stažení.
Pro certifikáty autorit Symantec (dříve Verisign), Thawte a GeoTrust můžete použít nový a pokročilejší ověřovač instalace od Symantecu zvaný SSL Certificate Checker.
Do ověřovače vložte celý název domény, pro kterou byl certifikát vystaven a klikněte na Validate. Ověřovač se poté připojí na váš server a prověří správnost instalace certifikátu.
Tímto nástrojem můžete také dekódovat obsah CSR requestu (žádosti o certifikát, veřejného klíče).
Pro SSL certifikáty RapidSSL použijte nástroj této autority RapidSSL Certificate Installation Checker. Do něj uveďte vaši doménu a pokud nemáte webový server nastaven jinak, ponechte předvyplněný port 443.
Je-li váš SSL certifikát na serveru správně nainstalován a důvěryhodný, ověřovač vám oznámí, že je vše v pořádku a že je Chain kompletní (též ho kompletně vypíše).
V opačném případě vám sdělí příčinu chyby. Tento test našel chybu a příčinou jsou chybějící Intermediate certifikáty.
Pokud na serveru chybí Intermediate certifikáty, rovnou vám je vypíše, abyste je nemuseli hledat.
Intermediate certifikát je uveden v textovém formátu a kódování Base64. Můžete ho tedy z webu zkopírovat, uložit, a na server nainstalovat. Při instalaci vám pomohou články nápovědy SSLmarket, kde najdete konkrétní postup pro váš webový server.
Ověřovače instalace jsou automatické a nejsou vždy neomylné. Pokud vám tedy ověřovač ukazuje zvláštní chybu nebo odmítá test provést, doporučuji zkontrolovat správnost instalace ručně.
Ruční ověření řetězu důvěry
Správnost nainstalování Intermediate certifikátů, a tedy i důvěryhodnost certifikátu, můžete ověřit i manuálně. Stačí ve vašem prohlížeči zobrazit detail certifikátu. V Internet Exploreru tak učiníte kliknutím na ikonu zámku vpravo od adresního řádku.
U prohlížeče Chrome je tato ikona umístěna na opačné straně.
Po kliknutí na Zobrazit certifikáty, resp. Informace o certifikátu, se vám zobrazí stejné okno s jeho detaily. V první záložce okna vidíte detaily SSL certifikátu, jeho datum vystavení a expirace, doménu, pro který je důvěryhodný. V druhé záložce okna potom jeho technické detaily a informace v certifikátu uvedené. Ve třetí záložce je potom informace o "řetězu" certifikátu.
V tzv. Chain of Trust (řetěz důvěry) uvidíte vztah vašeho certifikátu k důvěryhodným kořenovým certifikátům autorit. Toto propojení, které je zprostředkováno Intermediate certifikátem, zajišťuje důvěryhodnost certifikátu. Při správné instalaci certifikátu z rodiny Symantec uvidíte v detailu dva Intermediate certifikáty, na něž se napojuje váš certifikát na nejnižší úrovni. Root certifikát, který distribuuje výrobce vašeho operačního systému, se v moderních prohlíčích většinou nezobrazuje.
Pokud v záložce Cesta k certifikátu vidíte pouze váš certifikát a žádné další, nebyly Intermediate certifikáty nainstalovány a důvěryhodnosti certifikátu nebylo dosaženo. V následujícím příkladu je použit tzv. Self-signed certifikát programu Zune, ale tato chyba upozorňující na neznámého vydavatele je u serverových certifikátů zobrazena stejně, případně s upozorněním, že vydavatele nelze ověřit.
V záložce Obecné je potom vysvětleno, že systém nedůvěřuje kořenové autoritě vystavitele certifikátu.
Chybové hlášky mohou mít různé znění, ale důvod je tentýž. V případě správně nainstalovaného SSL certifikátu a Intermediate certifikátů je důvěryhodnost v pořádku, systém vystaviteli důvěřuje a nezobrazuje se žádná chyba.
Máte s instalací vašeho certifikátu problémy?
V případě problémů s instalací SSL certifikátu neváhejte kontaktovat naši zákaznickou podporu.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz