خطاهای نصب ssl

خطاهای رایج SSL و نحوه برطرف کردن آنها

سفارش گواهینامه صحیح و مناسب ، ایجاد CSR ، دانلود و  نصب آن و تست کردن آن برای اطمینان از عدم وجود مشکل در آن گواهی این ها همه مواردی هستند که ممکن است در آن ها با خطاهای رایج SSL روبرو شوید.

در این مقاله می خوام به شما مراحل کار از ابتدا تا انتها را تا حد امکان به ساده ترین حالت لیست کنم.اینها ،بر اساس بهترین سؤالات و مسائلی است که ممکن است مشتریان در هنگام سفارش یا نصب گواهینامه ssl با آن روبرو شوند.

امیدوارم که این مطلب به شما کمک کند از این مشکلات جلوگیری کنید, اما اگر پس از تهیه گواهینامه مشکلی بود که با استفاده از این مقاله قادر به حل آن نبودید ،می توانید به پشتیبانی ما تیکت ارسال نمایید.

انتخاب یک روش صحیح برای تأیید هویت

به صورت کلی سه راه تأیید دامنه برای شما وجود دارد:

ایمیل تایید ، تأیید HTTP و  رکورد txt برای DNS.

Approver Email

هنگام سفارش گواهینامه امنیتی ، می توانید از آدرس های ایمیل زیر استفاده کنید تا به صادر کننده اجازه دهید دامنه شما را تأیید کند:

  • admin@domain.com
  • administrator@domain.com
  • hostmaster@domain.com
  • postmaster@domain.com
  • webmaster@domain.com

سپس ایمیلی به آدرس انتخاب شده ارسال می شود و پس از دریافت ایمیل شما می توانید روی لینک داخل ایمیل کلیک کنید تا صحت دامنه مورد نظر شما تایید شود.

اگر دسترسی ندارید یا نمی توانید یک ایمیل از لیست فوق تنظیم کنید ، باید با پشتیبانی هاست یا سرور خود تماس بگیرید تا شما را راهنمایی کنند.البته توجه داشته باشید یوز اس اس ال به صورت رایگان برای شما گواهینامه تان را بر روی کنترل پنل های رایج به صورت کامل نصب می کند.

توجه: مقالات مرتبط به راهنمای نصب گواهینامه اس اس ال بر روی کنترل پنل های مختلف را می توانید در اینجا مطالعه نمایید.

HTTP Verification

با استفاده از روش تأیید HTTP (که به آن Approver URL یا متا تگ هم می گویند) ، می توانید یک رشته کاراکتر ارائه شده توسط صادر کننده را در روت هاست خود وارد کنید.البته دایرکتوری انتخاب شده برای این کار باید به صورت زیر باشد.

domain.com/well-known/pki-validation/gsdv.txt

ممکن است سیستم صادرکننده در صورت تغییر مسیر دامنه شما به یک صفحه دیگر نتواند دامنه را تأیید کند ، بنابراین قبل از آن مطمئن شوید که همه تغییر مسیرها و ریدایرکت های سایت را غیرفعال کرده اید.

DNS TXT Record

این روش مستلزم این است که کد موردنظر را در رکورد DNS TXT برای دامنه ثبت شده ایجاد نمایید.و باید اطمینان حاصل کنید که رشته دقیقاً با آنچه در پایان سفارش گواهینامه خود دریافت کردید یا از سمت صادرکننده به شما ارائه شده است ، مطابقت دارد.همچنین ، باید اطمینان حاصل کنید که آن رکورد در دسترس عموم است.برای بررسی رکورد txt دی ان اس خود می توانید از برخی از ابزارهای آنلاین رایگان در اینترنت استفاده کنید.یا می توانید کد زیر را در command prompt اجرا کنید تا ببینید ورودی txt وجود دارد یا خیر، برای مثال:

nslookup -type=txt domain.com
به جای domain.com نام دامنه خود را قرار دهید.

گم کردن کلید خصوصی

همانطور که می دانید سفارش گواهینامه ssl نیاز به ارسال CSR دارد و برای ایجاد CSR باید یک کلید خصوصی ایجاد شود.کلید خصوصی شما که مختص به گواهینامه امنیتی شماست ، معمولاً در همان فایلی که CSR ایجاد شده است قرار دارد.اگر کلید خصوصی در دستگاه شما ذخیره نشده باشد یا آن را گم کرده باشید، باید گواهینامه ssl مجدد با یک CSR جدید و در نتیجه کلید خصوصی جدید از نو صادر شود.پس خیلی مراقب اطلاعات گواهینامه ssl خود باشید و آن ها را در یک فایل متنی ذخیره و نگه داری نمایید.

نمونه هایی از پیام های خطاهای رایج SSL یا موقعیت هایی که نشان می دهد هیچ کلید خصوصی ای وجود ندارد:

  • پیام خطای “Private key missing” در هنگام نصب 

  • پیام خطای “Bad tag value” در هنگام نصب 
  • حذف شدن گواهینامه بعد از وارد کردن آن در IIS و ریفرش کردن
  • لود نشدن سایت در حالت https وقتی که سایت را باز می کنید

کلید خصوصی گواهینامه اس اس ال خود را محفوظ نگاه دارید چون در صورت فاش شدن آن ممکن است در آینده امنیت سرور شما به خطر بیفتد.

ما راهنماهایی را برای کمک به شما در ایجاد کلیدهای خصوصی و CSR ارائه می دهیم.

SAN Compatibility

برای یک نام جایگزین یا گواهینامه SAN ، موارد زیادی وجود دارد که باید قبل از سفارش به آنها توجه کنید:

  • SAN های UCC (ارتباطات یکپارچه-Unified Communication) به صورت رایگان قابل انتخاب هستند. که برخی از زیر دامنه های مستقیم با نام مشترک را پوشش می دهند, مثلا:

    mail.domain.com
    owa.domain.com
    autodiscover.domain.com
    www.domain.com

SAN های Subdomain برای کلیه نامهای هاست که یک نام در سطح مشترک دارند قابل استفاده است.مثلا: support.domain.com می تواند یک SAN Subdomain برای گواهینامه با  نام دامنه domain.com باشد.ولی دقت کنید Advanced.support.domain.com نمی تواند توسط گواهینامه صادر شده برای دامنه domain.com تحت پوشش یک Subdomain SAN باشد ،چون این یک زیر دامنه مستقیم از دامنه domain.com نیست.

SAN های FQDN (نام دامنه واجد شرایط-Fully Qualified Domain Name) برای کلیه هاست نیم های واجد شرایط ،حتی نامربوط به نام مشترک دامنه قابل استفاده هستند.مثلا: support-domain.net می تواند یکSAN FQDN در گواهینامه با نام مشترک domain.com باشد.پس با این حساب support.domain.com هم می تواند یک FQDN معتبر برای گواهینامه با نام مشترک domain.com باشد ، اما انتخاب SAN Subdomain برای این مورد انتخاب هوشمندانه تری است.

آدرس های IP هم که نمی توانند توسط SAN FQDN ها پوشش داده شوند.

SANها برای آدرسهای IP عمومی فقط برای آدرسهای IP جهانی ثبت شده و عمومی کار خواهد کرد ، در غیر این صورت مالکیت آن ها قابل تأیید نیست.

SAN های Wildcard همانند SAN FQDN ها کار می کنند ، اما سطح فرعی کل زیر دامنه را تحت پوشش قرار می دهند ، بدون توجه به این که جان آن ستاره چه نامی قرار داده شود.مثلا: یک Wildcard SAN به صورت * .domain.com می تواند support.domain.com ، gcc.domain.com ، mail.domain.com و غیره را پوشش دهد!

برای سازگاری انواع SANهای مختلف با موارد مختلف ، جدول زیر را مشاهده کنید:

انواع گواهینامه ssl

انواع گواهینامه ssl

توجه داشته باشید امکان حذف SAN پس از صدور گواهینامه وجود دارد.

Invalid CSR

یکی دیگر از خطاهای رایج SSL که بسیار مهم هم هست این مورد است. اگر شما در حال ایجاد یک renewal CSR هستید ، باید اطمینان حاصل کنید که نام مشترک با یکی از CSRهای اصلی شما مطابقت داشته باشد.CSR جدید با قبلی از آنجایی که کلید خصوصی همیشه باید متفاوت باشد یکسان نخواهد بود.

شما می توانید CSR را با استفاده از این لینک تست کنید.اما مادامی که کلید خصوصی خود را با دیگران به اشتراک نگذارید ، لازم نیست نگران امنیت گواهینامه و سایت خود باشید.باید بدانید که اگر در ابتدا یا انتهای درخواست گواهینامه فضای خالی اضافی یا تعداد بسیار کمی dash(-) وجود داشته باشد ، CSR را باطل می کند.

—–BEGIN CERTIFICATE REQUEST—–
—–END CERTIFICATE REQUEST—–

The Common Name You Have Entered Does Not Match the Base Option

این یکی دیگر از خطاهای رایج SSL است و هنگام سفارش گواهی Wildcard SSL ظاهر می شود وقتیکه شما ستاره را در نام مشترک CSR وارد نمی کنید (به عنوان مثال CSR با CN به صورت  domain.com را به جای domain.com.* وارد کرده اید).یا برعکس ، وقتی کهdomain.com.* را با CSR وارد کرده اید ولی انتخاب نکرده اید که می خواهید یک گواهی Wildcard سفارش دهید.

نماد ستاره [*] نمایانگر تمام زیر دامنه هایی است که می توانید با این نوع گواهینامه آن ها را امن کنید.یعنی اگر می خواهید www.domain.com ، mail.domain.com و safe.domain.com را امن کنید ، باید domain.com.* را به عنوان نام مشترک در CSR وارد کنید.

نکته:شما نمی توانید قبل از ستاره در یک گواهینامه Wildcard یک زیر دامنه ایجاد کنید ،مثلا mail.*.domain.com ، یا استفاده از دو ستاره مثل  domain.com.*.* .

Key Duplicate Error

این یکی از خطاهای رایج SSL است که هنگام استفاده از یک کلید خصوصی که قبلاً در جایی دیگر استفاده شده است ظاهر می شود.از یک کلید خصوصی و CSR فقط باید یک بار استفاده شود.

خب در این مورد شما باید یک کلید خصوصی و CSR جدید در سرور خود ایجاد کرده و CSR جدید را دوباره ارسال کنید.

امیدوارم این آموزش هم مورد پسند شما قرار گرفته باشه و با استفاده از اون تونسته باشیدخطاهای رایج SSL خود را رفع کنید. اگر در رابطه با این مقاله سوال و یا مشکلی داشتید در بخش دیدگاه‌ها اعلام کنید تا در کوتاه‌ترین زمان ممکن پاسخگوی شما باشم.

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگو شرکت کنید؟
نظری بدهید!

دیدگاهتان را بنویسید