خطاهای نصب SSL (بخش ۲)

خطاهای نصب SSL (بخش ۲)

در این مطلب قصد داریم به بررسی خطاهای نصب SSL بپردازیم. با سایت تخصصی میزبان وردپرس همراه باشید.

مطلب مرتبط : خطاهای نصب SSL

بسته بندی CA بعد از نصب مجدد گواهی از طریق cPanel به روز نمی شود.

ممکن است گاهی اوقات، مشتریان با سرورهای cPanel در هنگام تلاش برای به روز رسانی مجوز گواهینامه با وضعیت ناخوشایندی مواجه شوند. با وجود تلاشهای متعدد برای نصب مجدد گواهی با نسخه جایگزین CA Bundle، این نسخه جدید هرگز نصب نشده است. برای مثال، این وضعیت اغلب با گواهینامه های COMODO SSL که دارای انواع مختلفی از زنجیره های مورد اعتماد هستند که ممکن است به صورت ریشه SHA-2 یا SHA-1 باشند، رخ می دهد. از آنجایی که گواهی ریشه COMAO یا همان گواهی SHA-2 هنوز محبوب نیست، در ذخیره سازی قابل اعتماد از تمام مشتریان گنجانده نشده است. به همین دلیل، استفاده از ریشه SHA-2 اغلب هشدارهای امنیتی در دستگاه های تلفن همراه را باعث می شود. مشکل معمولا اینگونه مطرح می شود: یک کاربر نصب جدیدی از یک گواهی COMODO همراه با زنجیره ریشه SHA-2 را انجام می دهد. این ویژگی باعث می شود تمام تاسیسات دیگر گواهینامه های مشابه همانند یک بسته نرم افزاری CA باشند. مهم نیست که چند بار تلاش می کنیم گواهی را با گزینه جایگزین زنجیره ای CA از طریق رابط cPanel یا WHM نصب کنیم، سرور همچنان بسته نرم افزاری نصب شده را باز می کند.

cabundle_cpanel1

در تصویر، خروجی دستور openssl برای بررسی نصب گواهی نشان داده شده است. این گواهی نصب شده زنجیره ریشه SHA-2 را شناسایی کرد. همان زنجیره به طور خودکار برای تمام گواهی های PositiveSSL در سرور خواهد آورد. تنها راه غلبه بر این مسئله این است که زنجیره CA را از طریق SSH به روز کنید. برای انجام این کار، باید دسترسی ریشه به سرور داشته باشید. اگر رفتار مشابهی در Server Hosting هاستینگ شده یا هاست نمایندگی Namecheap مشاهده کردید، این مسئله را به تیم پشتیبانی ما گزارش دهید. اگر هاستینگ مشترک با شرکت هاستینگ شخص ثالث را به اشتراک گذاشته اید، با ارائه دهنده خدمات هاستینگ خود تماس بگیرید تا بتوانید این مشکل را برای شما حل کند. با ارائه دسترسی ریشه ای به سرور (VPS یا اختصاصی)، می توانید این مشکل را از طریق رابط خط فرمان انجام دهید. لطفا مراحل زیر را دنبال کنید:

مرحله ۱٫ با استفاده از حساب کاربری root از سرور SSH وارد شوید. شما می توانید از هر کلاینت SSH که می خواهید، استفاده کنید، مثلا PuTTy برای ویندوز، یا ابزار Terminal استاندارد در سیستم عامل مک و لینوکس.

توجه: اگر با یک حساب غیر ریشه وارد سیستم شوید، نمیتوانید مراحل زیر را انجام دهید و شما یک خطای مجوز دریافت خواهید کرد.

مرحله ۲٫ فایل پیکربندی را با هاست مجازی برای  سایت های سرور تعیین کنید. در سرورهای cPanel، فایل پیکربندی باید در /usr/local/apache/conf/httpd.conf واقع شود یا /etc/httpd/conf/httpd.conf. مکان صحیح را می توان با استفاده از دستور httpd -V بررسی کرد.

cabundle_cpanel2

مرحله ۳٫ فایل پیکربندی را با استفاده از هر ویرایشگر متن باز کنید و هاست مجازی SSL را برای نام دامنه (پورت ۴۴۳) قرار دهید. بعد از اینکه گواهی از طریق cPanel یا WHM نصب شد، هاست مجازی مربوطه در فایل پیکربندی ایجاد می شود. با تگ آدرس IP سرور و پورت ۴۴۳ شروع خواهد شد و دامنه مربوطه در کنار دستورالعمل ServerName ایجاد خواهد شد. برای خط SSLCACertificateFile نگاه کنید. این مسیر فایل با بسته نرم افزاری CA را نشان می دهد که شما باید آن را باز کرده و تغییر دهید. اگر نگاهی به سایر هاست مجازی برای سایت هایی با همان نوع گواهینامه داشته باشید، ممکن است متوجه شوید که دستورالعمل های SSLCACertificateFile در آنها به همان پرونده مراجعه می کنند.

cabundle_cpanel3

مرحله ۴٫ با استفاده از هر ویرایشگر متن، فایل را با بسته نرم افزاری CA باز کنید و آن را جایگزین زنجیره گواهینامه در آن کنید. پس از تکمیل، تغییرات در فایل را ذخیره کنید.

نکته: اگر شما با مشکل گواهی COMODO خریداری شده با Namecheap روبرو هستید، می توانید فایل بسته نرم افزاری CA را در حساب کاربری Namecheap خود دانلود کنید، یا از بسته های SHA-2 از این صفحه استفاده کنید (SHA-2 تحت ریشه SHA-2 استفاده کنید)

مرحله ۵٫ آپاچی را راه اندازی مجدد کنید. شما می توانید از دستور زیر برای این کار استفاده کنید:

service httpd restart

پس از اتمام این مراحل، فایل بسته نرم افزاری باید به روز شود و سرور باید بتواند آن را بازگرداند. لطفا توجه داشته باشید که cPanel بسته نرم افزاری CA به روز رسانی شده را برای تمام تاسیسات دیگر گواهینامه های مشابه اعطا می کند.

cabundle_cpanel4

SSL از فهرست گواهی در سرور ویندوز از بین می رود

کاربران با سرورهای ویندوز ممکن است گاهی اوقات که یک گواهی وارد شده از لیست گواهینامه سرور ناپدید می شوندبا یک مسئله روبرو می شوند. اغلب درست پس از تکمیل درخواست گواهینامه در مدیریت اطلاعات اینترنت (IIS) یا مدیریت کنسول Exchange و تازه سازی لیست گواهینامه ها این اتفاق می افتد. لیست گواهینامه های سرور در IIS و EMC فقط حاوی گواهینامه هایی هستند که به کلید خصوصی اختصاص داده شده و همراه با درخواست امضای گواهی (CSR) که برای فعال کردن یک گواهی خاص استفاده می شود تولید می شود. هنگامی که پیوند بین گواهی و کلید خصوصی به دلایلی شکسته می شود، گواهی ناپدید می شود. برای اینکه گواهی دوباره ظاهر شود، باید پیوند بین گواهی و کلید خصوصی را با استفاده از مراحل زیر اعمال کنید:

۱- کنسول مدیریت مایکروسافت (MMC) را روی دستگاه سرور خود باز کنید. اطمینان حاصل کنید که قبل از ادامه به عنوان مدیر وارد سیستم شوید. برای باز کردن MMC، کلید Win + R را فشار دهید، mmc را تایپ کنید و OK را کلیک کنید.

mmc1

۲- در منوی فایل، Add / Remove Snap را انتخاب کنید.

mmc2

۳- در پنجره افزودن یا حذف Snap-ins dialog، Certificate ها را انتخاب کرده و روی افزودن کلیک کنید.

mmc3

۴- حساب کاربری کامپیوتر را در پنجره snap-in window، روی Next کلیک کنید.

mmc4

۵- گزینه Local computer را فعال کنید و سپس روی Finish کلیک کنید.

mmc5

۶- snap-in is selected اکنون انتخاب شده است. روی دکمه OK برای ادامه کلیک کنید. snap-inدر حال حاضر به کنسول اضافه شده است.

mmc6

۷-  محل گواهی که هنگام تکمیل درخواست گواهی وارد شدید را تعیین کنید. گواهی باید در فروشگاه شخصی باشد. توجه داشته باشید که نماد گواهی کنار نام دامنه بر روی آن کلید ندارد. این بدان معنی است که هیچ کلید خصوصی به گواهی اختصاص ندارد.

mmc7

۸- بر روی گواهی دوبار کلیک کنید و به برگه جزئیات بروید.

۹- در جزئیات گواهینامه، فیلد سریال را بیابید، روی آن کلیک کنید و مقدار آن را کپی کنید.

mmc8

۱۰- دستور Command Prompt را با فشار دادن Win + R و تایپ cmd، سپس روی OK باز کنید.

۱۱- در خط فرمان certutil -reperirstore my serial_number را از مرحله ۹ تایپ کنید.

توجه داشته باشید: اطمینان حاصل کنید که شماره سریال گواهی شما فاقد فضای خالی باشد. باید یک رشته ای از نمادها باشد.

mmc9

اگر خطای “CERTUtil: -repairstore command FAILED: 0x80090010” دریافت کردید، این بدان معناست که درخواست گواهی بر روی سرور دیگری تولید شده است و کلید خصوصی در این مورد وجود ندارد. شما باید کلید را به سرور خود از طریق فایل PFX انتقال دهید یا یک کد جدید CSR ایجاد کنید و مجددا گواهی را ارسال کنید.

۱۲- لیست گواهی ها را در فروشگاه گواهی شخصی در MMC خود تجدید کنید. بر روی نماد گواهینامه باید کلید وجود داشته باشد.

mmc10

علاوه بر این، شما با دوبار کلیک بر روی گواهینامه، پیام را مشاهده خواهید کرد: “You have a private key that corresponds to this certificate.”

mmc11

اکنون می توانید فهرست گواهی های سرور را در IIS Manager یا Console Management Exchange برای دیدن گواهی بروز رسانی کنید. دستورالعمل های مشابه ممکن است در صورتی که گواهی از سرور حذف شود، استفاده شود. اگر یک گواهی را حذف کنید، کلید خصوصی مربوطه بر روی سرور باقی می ماند. این بدان معنی است که گواهی می تواند از طریق MMC به سرور منتقل شود (شما می توانید گواهی را در حساب خود، با توجه به اینکه با Namecheap خریداری شده است، دانلود کنید، و مراحل را از این مقاله برای وارد کردن گواهی به دستگاه خود انجام دهید. گواهی باید وارد فروشگاه شخصی شود) و دستور certutil برای بازسازی لینک بین کلید خصوصی و گواهی استفاده شود.

منبع : www.namecheap.com