3

我有一个使用 SSL 在 sub.domain.com 上运行的 Node.js 服务器。它在桌面浏览器上运行了几个月,但我只是注意到它在移动浏览器上不起作用。

我做了一些研究,很多人认为我的证书链有问题。我已将代码更改为看起来有但仍然没有运气。

这是我的代码:

var httpsOptions = {
    ca: [fs.readFileSync("certrequest.csr")],
    key: fs.readFileSync("privatekey.pem"),
    cert: fs.readFileSync("certificate.pem")
};

var app = http.createServer(httpsOptions, function(req, res) {
    log.cnsl.write("HTTP Request received from " + req.connection.remoteAddress);
        //Do stuff
});

我正在运行这个命令来查看一些调试信息(我的服务器在端口 5673 上运行):

openssl s_client -connect sub.domain.com:5673 -showcerts | grep "^ "

以下是该输出的重要部分

depth=0 O = *.domain.com, OU = Domain Control Validated, CN = *.domain.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 O = *.domain.com, OU = Domain Control Validated, CN = *.domain.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 O = *.domain.com, OU = Domain Control Validated, CN = *domain.com
verify error:num=21:unable to verify the first certificate
verify return:1
4

1 回答 1

5

您将证书请求文件“certrequest.csr”作为 CA 听起来很奇怪。

CA 字段应包含从您的个人证书到根证书的证书链。在我的配置中,它包含 2 个条目。一个作为根证书本身,第二个作为中间证书,因为我的颁发者提供了多个级别的证书。

顺便说一句,您的认证公司肯定会在他们的常见问题解答中为您提供此类信息。

例如,这是我的配置的摘录:

var httpsOptions = {
    key:fs.readFileSync('/etc/ssl/private/ssl-main.key'),
    cert:fs.readFileSync('/etc/ssl/private/ssl-main.crt'),
    ca:[fs.readFileSync('/etc/ssl/private/ca.pem'),
        fs.readFileSync('/etc/ssl/private/sub.class2.server.ca.pem')]
};

无论如何,这并不能解释为什么它适用于非移动浏览器。我唯一的猜测是,他们将自己嵌入了链的一部分,而手机不会出于磁盘空间的原因。

希望这可以帮助。

于 2012-07-16T01:53:03.840 回答