全球主机交流论坛

标题: AlphaSSL 新证书 GlobalSign GCC R6 AlphaSSL CA 2023 证书链修复教程 [打印本页]

作者: iks 时间: 2024-2-15 18:33
标题: AlphaSSL 新证书 GlobalSign GCC R6 AlphaSSL CA 2023 证书链修复教程
本帖最后由 iks 于 2024-2-15 18:33 编辑

原载于 https://blog.iks.moe/archives/AlphaSSL-2023-GlobalSign-R6-fullchain.html

近日有群友报告 AlphaSSL 新签的证书兼容性不佳，在用自动证书工具补齐证书链之后仍然无效。鉴于 GlobalSign 近几年搞了一大堆 intermediate CA，估摸着这回终于到 AlphaSSL 头上了。简单查了下，果然。

2022 年底的 AlphaSSL CA - SHA256 - G2 失效，GlobalSign 给了 AlphaSSL CA - SHA256 - G4 作为新的 intermediate CA 证书，写在里面的 AIA 指向 GlobalSign Root CA (01SEP1998 - 28JAN2028, root-r1)。

奇怪的是 2024 年 1 月 28 日之后的 AlphaSSL CA - SHA256 - G4 不再签发证书，改由 GlobalSign GCC R6 AlphaSSL CA 2023 签发原有通道的 AlphaSSL 证书，而后者的 AIA 指向 GlobalSign Root CA - R6 (10DEC2014 - 10DEC2034, root-r6)，且为信任锚。

显然 2024 年 1 月 28 日之后的 AlphaSSL 默认的证书链的信任锚为 2014 年的这张 GlobalSign Root CA - R6。众所周知，一个新信任锚被绝大多数操作系统和软件所接受的周期是极长的，2010 年出的新根证书 (e.g. USERTrust) 依然在很多嵌入式设备、操作系统和浏览器中不受支持。保险起见，新的根证书会找老根证书交叉签名以保证自身的良好的兼容性，GlobalSign 也不例外。因此，重建证书链，将信任锚指向为其交叉签名的较老的根证书上即可解决问题。

查询 https://crt.sh/?caid=272222 得知 GlobalSign GCC R6 AlphaSSL CA 2023 仅有一条直接上级 CA，即 GlobalSign Root CA - R6 (https://crt.sh/?caid=18459)。

继续向上查询，得知 GlobalSign Root CA - R6 除了为信任锚外，还与 GlobalSign Root CA (01SEP1998 - 28JAN2028, root-r1) 有背书，那么解决方案呼之欲出————拼接 GlobalSign GCC R6 AlphaSSL CA 2023, GlobalSign Root CA - R6 和 GlobalSign Root CA 即可解决问题。

作者: iks 时间: 2024-2-15 18:33
本帖最后由 iks 于 2024-2-15 18:32 编辑

将以下代码块附加在叶子证书（第一个 BEGIN CERTIFICATE 起到第一个 END CERTIFICATE 止）后作为证书链：

https://pastebin.ubuntu.com/p/QNSRBbCC3G/

（你 loc 怎么这么多和谐词，，，）

作者: Winday. 时间: 2024-2-15 21:33
本帖最后由 Winday. 于 2024-2-15 21:34 编辑

好难懂啊。。。。紫薯补丁。。。。不过谢谢楼主。。。查看楼主博客链接得好好烟酒一下

https://blog.iks.moe/archives/AlphaSSL-2023-GlobalSign-R6-fullchain.html

作者: spark1e 时间: 2024-2-15 21:42
好帖，前两天也遇到这个问题了，没想到这个方案解决。

简单来说就是自己的CERTIFICATE段，再加上楼主提供的两段即可修复，我在我自己的Android9上测试已经可以了。

作者: hfhfg 时间: 2024-2-15 21:45
如果在正规商家购买的话，直接reissue就可以了，会用新的CA签发，并且无需任何费用。

作者: Winday. 时间: 2024-2-15 22:19

spark1e 发表于 2024-2-15 21:42
好帖，前两天也遇到这个问题了，没想到这个方案解决。

简单来说就是自己的CERTIFICATE段，再加 ...

射射！！果然解决了。。。。嘢

作者: Winday. 时间: 2024-2-15 22:22
@iks 本来Alpha提供的pem有两条-----BEGIN CERTIFICATE-----

然后添加上楼主的两条，，pem一共有四条-----BEGIN CERTIFICATE-----

但SSL可以正常使用

请问可以精简吗？

作者: 今天你封号了吗 时间: 2024-2-15 22:26
太高端了，看不懂，IP已送

作者: w55188 时间: 2024-2-15 22:31
实际上你无论怎么搞，根证书都是2014的哪个了，不再是1998的哪个了。

作者: Winday. 时间: 2024-2-15 22:33

w55188 发表于 2024-2-15 22:31
实际上你无论怎么搞，根证书都是2014的哪个了，不再是1998的哪个了。

楼主有便宜的通配符吗

作者: w55188 时间: 2024-2-15 22:37

Winday. 发表于 2024-2-15 22:33
楼主有便宜的通配符吗

有。

作者: hfhfg 时间: 2024-2-15 22:42

w55188 发表于 2024-2-15 22:31
实际上你无论怎么搞，根证书都是2014的哪个了，不再是1998的哪个了。

哈哈，我看了一下楼主加的2个证书，其中一个就是2014 CA签发的。并且2014跟另外一个2019证书没有任何从属关系。

果然是SSL证书大神，一眼看出来。

作者: w55188 时间: 2024-2-15 22:44
证书连有问题的可以直接到第三方直接修护就可以了给你们工具https://myssl.com/chain_download.html
但是根证书始终是2014年的，在老设备还是会存在问题。还是之前1998的兼容性强呀！没办法咯

作者: hfhfg 时间: 2024-2-15 22:55

w55188 发表于 2024-2-15 22:44
证书连有问题的可以直接到第三方直接修护就可以了给你们工具https://myssl.com/chain_download.html
但是根 ...

不过我有一些疑惑，既然老设备能够联网，应该都会自动更新ROOT证书吧？

如果是不能联网的老设备，那么AlphaSSL签发给啥东西呢？

作者: iks 时间: 2024-2-16 11:23

w55188 发表于 2024-2-15 22:44
证书连有问题的可以直接到第三方直接修护就可以了给你们工具https://myssl.com/chain_download.html
但是根 ...

能不能不要胡说八道，r6 跟 r1 交叉之后把信任锚指向 r1 就可以增强兼容性

作者: iks 时间: 2024-2-16 11:24

Winday. 发表于 2024-2-15 22:22
@iks 本来Alpha提供的pem有两条-----BEGIN CERTIFICATE-----

然后添加上楼主的两条，，pem一共有四条-- ...

中间会有一块一样的，去重

作者: iks 时间: 2024-2-16 11:26

hfhfg 发表于 2024-2-15 21:45
如果在正规商家购买的话，直接reissue就可以了，会用新的CA签发，并且无需任何费用。 ...

这次事故就是 CA 太新引起的问题，，，

作者: iks 时间: 2024-2-16 11:29

hfhfg 发表于 2024-2-15 22:42
哈哈，我看了一下楼主加的2个证书，其中一个就是2014 CA签发的。并且2014跟另外一个2019证书没有任何从属 ...

2014 证书 r6 已经由 1998 证书 r1 背书，呃呃你这个 2019 又是从哪里来的，，，

作者: Winday. 时间: 2024-2-16 11:30

iks 发表于 2024-2-16 11:24
中间会有一块一样的，去重

嗯，，已发现。解决，谢谢

作者: hfhfg 时间: 2024-2-16 11:31

iks 发表于 2024-2-16 11:23
能不能不要胡说八道，r6 跟 r1 交叉之后把信任锚指向 r1 就可以增强兼容性

其实有没有一个已经完成的例子？只要按照楼主方法修改了的网站，浏览器加载一下，然后看一下证书链，就知道实际是用1998的还是2014的根证书了。毕竟浏览器加载出来的结果不会骗人的。

作者: iks 时间: 2024-2-16 11:32

hfhfg 发表于 2024-2-15 22:55
不过我有一些疑惑，既然老设备能够联网，应该都会自动更新ROOT证书吧？

如果是不能联网的老设备，那么Al ...

根证书存储库由操作系统更新维护，嵌入式操作系统，如 Android 的更新间隔更为大，旧设备和旧操作系统即使联网，也不一定会收到新的更新

作者: iks 时间: 2024-2-16 11:34

hfhfg 发表于 2024-2-16 11:31
其实有没有一个已经完成的例子？只要按照楼主方法修改了的网站，浏览器加载一下，然后看一下证书链，就知 ...

浏览器确实会骗人，，，Chrome 自动搜寻最新的信任锚并完成验证，你不信可以在 Windows 7 上用旧版 Chrome 看同一个站，看看信任锚指向哪里，，，

作者: hfhfg 时间: 2024-2-16 11:35

iks 发表于 2024-2-16 11:29
2014 证书 r6 已经由 1998 证书 r1 背书，呃呃你这个 2019 又是从哪里来的，，， ...

。。。。。。。。。。。。。。。。。亲，你写的两个证书，其中一个就是2019的证书呀，由1998的CA签发。

作者: 亮有一妓 时间: 2024-2-16 11:36
已收藏

作者: hfhfg 时间: 2024-2-16 11:37

iks 发表于 2024-2-16 11:34
浏览器确实会骗人，，，Chrome 自动搜寻最新的信任锚并完成验证，你不信可以在 Windows 7 上用旧版 Chrom ...

能否告诉我一个例子？不然大家看的东西不一样，就没有意思了。

作者: iks 时间: 2024-2-16 11:40

hfhfg 发表于 2024-2-16 11:35
。。。。。。。。。。。。。。。。。亲，你写的两个证书，其中一个就是2019的证书呀，由1998的CA签发。 ...

谔谔，抱歉，起初没理解到位。

r6 作为信任锚，被自己签名的时间是 2014 年；r6 作为 iCA，被 r1 背书的时间是 2019 年。

两个版本的 r6 在签名公密钥对是一样的，所以可以互相替代，产生不同的信任链，但都可以使用。

作者: hfhfg 时间: 2024-2-16 11:46

iks 发表于 2024-2-16 11:40
谔谔，抱歉，起初没理解到位。

r6 作为信任锚，被自己签名的时间是 2014 年；r6 作为 iCA，被 r1 背书的 ...

按我理解，证书是唯一的，不可能有同时指向。

所以除非有人举例出明确例子，否则我都无法认同楼主的说法。

或者继续等别人提供例子？

作者: iks 时间: 2024-2-16 12:02
本帖最后由 iks 于 2024-2-16 12:05 编辑

hfhfg 发表于 2024-2-16 11:46
按我理解，证书是唯一的，不可能有同时指向。

所以除非有人举例出明确例子，否则我都无法认同楼主的说法 ...

按我理解

好

否则我都无法认同楼主的说法

好

说句难听的，你怎么理解、认不认同关我什么事，坛友按照我的方法搞定了解决了问题还不够吗？

作者: iks 时间: 2024-2-16 12:19

hfhfg 发表于 2024-2-16 11:46
按我理解，证书是唯一的，不可能有同时指向。

所以除非有人举例出明确例子，否则我都无法认同楼主的说法 ...

https://myssl.com/r6-globalsign.iks.moe?domain=r6-globalsign.iks.moe

https://myssl.com/r1-globalsign.iks.moe?domain=r1-globalsign.iks.moe

满意了吗？

作者: hfhfg 时间: 2024-2-16 12:46

iks 发表于 2024-2-16 12:19
https://myssl.com/r6-globalsign.iks.moe?domain=r6-globalsign.iks.moe

有例子当然满意呀，有证有据那不是最好的证明？

作者: iks 时间: 2024-2-16 12:51

hfhfg 发表于 2024-2-16 12:46
有例子当然满意呀，有证有据那不是最好的证明？

前几楼解决了问题的坛友不是例子？我活该低声下气做毫无意义的重复证明是吧？

作者: hfhfg 时间: 2024-2-16 12:56

iks 发表于 2024-2-16 12:51
前几楼解决了问题的坛友不是例子？我活该低声下气做毫无意义的重复证明是吧？ ...

说几句当然不信呀，要证明有效当然要例子。

看你的语气，感觉还在读书？工作中还有很多项目要求提供测试结果呢。

作者: iks 时间: 2024-2-16 13:05

hfhfg 发表于 2024-2-16 12:56
说几句当然不信呀，要证明有效当然要例子。

看你的语气，感觉还在读书？工作中还有很多项目要求提供测试 ...

说几句当然不信呀，要证明有效当然要例子。

然，礼节问题，我并不是在工作。

作者: hfhfg 时间: 2024-2-16 13:32

iks 发表于 2024-2-16 13:05
然，礼节问题，我并不是在工作。

如果楼主认为提供测试结果很困扰，以后遇上同样的事情可以不回应呀。

毕竟我没有说楼主是错的，一直强调是“按我理解”。

不过，楼主提供了“测试结果”，不就可以推翻所有反驳你意见的人，不是吗？

所以在我的理解中，并不是“毫无意义”。

作者: iks 时间: 2024-2-16 13:34

hfhfg 发表于 2024-2-16 13:32
如果楼主认为提供测试结果很困扰，以后遇上同样的事情可以不回应呀。

毕竟我没有说楼主是错的，一直强调 ...

好

欢迎光临全球主机交流论坛 (https://fd.vvwvv.eu.org/)