ssl - 如何使用 cloudflare 原始证书构建正确的 CA 链？-6ren

ssl - 如何使用 cloudflare 原始证书构建正确的 CA 链？

转载作者：行者123 更新时间：2023-12-04 22:41:15

28

4

用例

这是我的用例:我有一个通过 cloudflare(代理)可用的页面，我们称之为 example.com。
我使用 Cloudflare 创建了一个原始证书并将其链接到我的 nginx 配置中，工作正常。 Cloudflare 在“完整”SSL 模式下工作。
现在我希望能够基本添加127.0.0.1 example.com给我的/etc/hosts因此服务器本身可以直接访问该页面(使用其他域和在该服务器上运行的软件来规避这一点并不是一个真正的选择)。

现在很明显当我curl -v https://example.com我收到一个 SSL 错误。

到目前为止我做了什么

所以基本上，做了一些研究，了解了CA链等等。
我找到了 Cloudflare Origin 根 CA(Cloudflare Documentation，第 4 步)并将其包含在我的 nginx 服务器的证书链中(基本上首先是他们为我生成的 Cloudflare Origin 证书，然后是根 CA)。我还将根 CA 安装到 /usr/share/ca-certificates (和 /usr/local/share/ca-certificates )并运行 dpkg-reconfigure ca-certificates它已正确添加到 /etc/ssl/certs目录到目前为止，一切都很好？

结果:不起作用。

进一步的研究

偶然发现这个guide我查看了以下内容:

cert.pem是我的 Cloudflare 颁发的证书

ca.pem是 cloudflare 根 CA(ecc 文件)

root@host:~/ssltest# openssl verify cert.pem
O = "CloudFlare, Inc.", OU = CloudFlare Origin CA, CN = CloudFlare Origin Certificate
error 20 at 0 depth lookup: unable to get local issuer certificate
error cert.pem: verification failed
root@host:~/ssltest# openssl x509 -noout -issuer -in cert.pem
issuer=C = US, O = "CloudFlare, Inc.", OU = CloudFlare Origin SSL Certificate Authority, L = San Francisco, ST = California
root@host:~/ssltest# openssl x509 -noout -issuer -in ca.pem
issuer=C = US, ST = California, L = San Francisco, O = "CloudFlare, Inc.", OU = CloudFlare Origin SSL ECC Certificate Authority
root@host:~/ssltest# openssl verify -CAfile ca.pem cert.pem
O = "CloudFlare, Inc.", OU = CloudFlare Origin CA, CN = CloudFlare Origin Certificate
error 20 at 0 depth lookup: unable to get local issuer certificate
error cert.pem: verification failed

所以基本上是 cert.pem 的发行人和 ca.pem 的主题不匹配。
这对我来说意味着:要么有一个我不知道如何获得的中间证书，要么 Cloudflare 给了我一个不是来自他们给我的根 CA 的证书。

Issuer 和 Subject 之间的差异也非常小:

CloudFlare Origin SSL Certificate Authority

CloudFlare Origin SSL ECC Certificate Authority

我能做些什么来修复它？
我可能只是在这里看不到东西，有人可以帮我吗？谢谢!

最佳答案

您所指的网站上提供了两个 CA 证书:

第一个是带有 OU“CloudFlare Origin SSL Certificate Authority”的 RSA 证书。第二个是ECC证书OU“CloudFlare Origin SSL ECC Certificate Authority”。

看起来你拿了 ECC 证书，而你应该拿了 RSA 证书。

关于ssl - 如何使用 cloudflare 原始证书构建正确的 CA 链？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/62068801/

28

4

0

文章推荐： perl ssl tls 与 net::sip 的连接

文章推荐： ssl - 隔离 Azure Kubernetes 服务 (AKS) SSL 错误

文章推荐： ssl - 从 RSA key 生成 PKCS#12 key 的问题

java - 可以使用根 CA 或祖父 CA 验证证书而不使用父 CA
我正在尝试在 Java 中执行此操作，但我认为这是一个一般证书问题。我有一个根CA，一个由根CA颁发的中间CA1，一个由中间CA1颁发的中间CA2，以及一个由中间CA2颁发的证书。 rootCA ->
java - 信任 CA 和父 CA，但不信任其他派生 CA。 Java应用程序
编辑 1:https://security.stackexchange.com/questions/83972/trust-ca-and-parent-ca-but-not-other-derivat
ruby - 为什么 "CA"["CA"] 是真的？
我正在使用“任何？” block 中的方法。该片段正在字符串中查找字符串“CA”(拆分)检查: region="CA" check="AU,US,UK,CA,ZA" if check.split(',
SpringBoot, Hibernate and AWS RDS (Aurora) with new CA rds-ca-ecc384-g1(SpringBoot、休眠和AWS RDS(Aurora)以及新的CA rds-ca-ecc384-G1)
我有一个SpringBoot应用程序，它使用以下配置与PostgreSQL通信，通过AWS Beanstrik部署：。在我将AWS Aurora证书更新为rds-ca-ecc384-g1之前，一切都很
openssl - FreeIPA 外部 CA(中间 CA)
我们正在使用我们现有的 CA 进行 freeipa 安装。在安装过程中，会生成 CSR，并且必须由 CA 签名才能创建证书。这个证书必须有 X509v3 Basic Constraints: CA:T
apache - 如何使用第三方 CA-NOT 自签名 CA 生成客户端证书
我正在尝试导出客户端证书以供网络浏览器使用。目标是使用指令限制对管理区域的访问。我看过很多关于使用自签名 CA 的教程。你会如何使用第三方来做到这一点？ 1) 如果它是受信任的根 CA，我是否需要
c# - 区分根 CA 和中间 CA 证书
我已经设法弄清楚 x509Certificate2Collection 中的证书是否是证书颁发机构证书，但我如何才能安全地确定它是根证书还是中间证书？以下是否足够安全？ var collection
hyperledger-fabric - 无法使用结构中的 ca 服务器生成的 ca 文件启动排序器
我使用 fabric-ca-sdk(fabric-sdk-java/fabric-sdk-java/src/test/fixture/sdkintegration) 中的测试代码启动 ca 服务器。并
ssl - CA 证书仅添加在 ca-bundle-trust.crt
环境: Red Hat Enterprise Linux Server release 7.7 (Maipo) # openssl version OpenSSL 1.0.2g 1 Mar 2016
kubernetes - Kubernetes 集群 CA 证书和 ca 证书私钥的路径
导出 K8s 集群 CA 证书和 CA 私钥团队，我有一个 Kubernetes 集群正在运行。我将一次又一次地删除和创建它，所以我想一直重复使用相同的 CA 证书，我需要保存 CA 证书和 key
c++ - "unknown ca"带有自生成的 CA、证书和客户端/服务器
我正在编写一个自定义客户端和服务器，我想通过公共(public) Internet 安全地进行通信，因此我想使用 OpenSSL 并让两端进行对等验证以确保我的客户端不会被 MITM 误导，同样，未经
ubuntu - 在没有 ca-certificates 包的情况下将受信任的 CA 添加到 ubuntu
问题: 我想构建一个 docker 容器 FROM:ubuntu:20.04但我无法访问外部互联网我在内部网络上有一个 apt 镜像，可以使用 apt 镜像位于 https 后面，带有自定义证书我
linux - 编写一个命令来终止名称包含 "ca"的第一个进程？必须杀死名称中包含 "ca"的第一个进程，而不是其他进程？
Linux 的新手，正在尝试了解更多，我遇到了这种情况。我已经尝试使用 ps 命令并使用 grep 来捕获“ca”，但它会返回每次出现的“ca”，无论它来自什么，它实际上对我没有帮助。我已经尝试过
.net - .NET 中的 TLS - 第三方根 CA 未被识别为受信任的根 CA
我正在尝试在我的 .NET 应用程序和我安装了第三方根 CA 证书和中间 CA 证书的网站之间建立 TLS 连接: ServicePointManager.SecurityProtocol = Sec
java - 导入根 CA 或中间 CA 而不是单个公共(public)证书
SSL 证书永远不会让我眼花缭乱。我有一个网络应用程序，它从合作伙伴那里对另一项服务进行休息调用以获取某些数据。他们使用为公司生成的自签名或内部 CA。问题是每当另一端更新 SSL 证书时，我的应用程
security - 带有证书固定的移动应用程序 - DMZ 框上的 SSL 证书与受信任的 CA 对比我自己的 CA
我正在开发一个带有证书固定的移动应用程序。我将在 DMZ 中有一个盒子来代理我的请求。该服务器是否应该拥有来自可信 CA 的证书，还是我可以使用我自己的 CA 生成的证书？从移动客户端使用受信任的
ssl - acivemq、安全 websockets、CA、安全和同源限制 - 如何安装 CA 证书？
有没有人设法将 CA 证书安装到 activemq 实例中？我一直在进行谷歌搜索并阅读 activemq 文档，但我没有找到任何关于如何在 activemq 中使用预先存在的 CA 证书的信息。我假
ssl - openssl ca vs openssl x509(openssl ca 命令在证书上注册的不一样？)
openssl ca 和 openssl x509 命令有什么区别？我正在使用它来创建和签署我的 root-ca、intermed-ca 和客户端证书，但是 openssl ca 命令不会在证书上注册
security - WebLogic 上的(内部)CA 签名证书和我机器上的相同 CA 证书(公钥)。浏览器仍然不信任
在 keystore 中创建私钥和自签名证书 keytool -genkey -alias mydomain -keystore mydomain.ks -dname cn=mydomain.com
ssl - ca-certificates on a raspberry pi 3 - update-ca-certificates 图和错误
我的 Raspberry Pi 3 出了点问题。我不得不运行 fsck.ext3，但是很多包都损坏了，例如 python 等。现在，ca-certificates 不会重新安装。每当它运行 updat

首页

博学

6Ren·AI

商城

ssl - 如何使用 cloudflare 原始证书构建正确的 CA 链？