·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
12下一页
返回列表 发布新帖

AlphaSSL 新证书 GlobalSign GCC R6 AlphaSSL CA 2023 证书链修复教程

305 10
发表于 2024-2-15 23:12:58 | 查看全部 阅读模式

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
原载于 https://blog.iks.moe/archives/AlphaSSL-2023-GlobalSign-R6-fullchain.html

近日有群友报告 AlphaSSL 新签的证书兼容性不佳,在用自动证书工具补齐证书链之后仍然无效。鉴于 GlobalSign 近几年搞了一大堆 intermediate CA,估摸着这回终于到 AlphaSSL 头上了。简单查了下,果然。

AlphaSSL 新证书 GlobalSign GCC R6 AlphaSSL CA 2023 证书链修复教程 嵌入式,操作系统,兼容性,浏览器,GlobalSignRootCA

2022 年底的 AlphaSSL CA - SHA256 - G2 失效,GlobalSign 给了 AlphaSSL CA - SHA256 - G4 作为新的 intermediate CA 证书,写在里面的 AIA 指向 GlobalSign Root CA (01SEP1998 - 28JAN2028, root-r1)。

AlphaSSL 新证书 GlobalSign GCC R6 AlphaSSL CA 2023 证书链修复教程 嵌入式,操作系统,兼容性,浏览器,GlobalSignRootCA

奇怪的是 2024 年 1 月 28 日之后的 AlphaSSL CA - SHA256 - G4 不再签发证书,改由 GlobalSign GCC R6 AlphaSSL CA 2023 签发原有通道的 AlphaSSL 证书,而后者的 AIA 指向 GlobalSign Root CA - R6 (10DEC2014 - 10DEC2034, root-r6),且为信任锚。

AlphaSSL 新证书 GlobalSign GCC R6 AlphaSSL CA 2023 证书链修复教程 嵌入式,操作系统,兼容性,浏览器,GlobalSignRootCA

显然 2024 年 1 月 28 日之后的 AlphaSSL 默认的证书链的信任锚为 2014 年的这张 GlobalSign Root CA - R6。众所周知,一个新信任锚被绝大多数操作系统和软件所接受的周期是极长的,2010 年出的新根证书 (e.g. USERTrust) 依然在很多嵌入式设备、操作系统和浏览器中不受支持。保险起见,新的根证书会找老根证书交叉签名以保证自身的良好的兼容性,GlobalSign 也不例外。因此,重建证书链,将信任锚指向为其交叉签名的较老的根证书上即可解决问题。

AlphaSSL 新证书 GlobalSign GCC R6 AlphaSSL CA 2023 证书链修复教程 嵌入式,操作系统,兼容性,浏览器,GlobalSignRootCA

查询 https://crt.sh/?caid=272222 得知 GlobalSign GCC R6 AlphaSSL CA 2023 仅有一条直接上级 CA,即 GlobalSign Root CA - R6 (https://crt.sh/?caid=18459)。

AlphaSSL 新证书 GlobalSign GCC R6 AlphaSSL CA 2023 证书链修复教程 嵌入式,操作系统,兼容性,浏览器,GlobalSignRootCA

继续向上查询,得知 GlobalSign Root CA - R6 除了为信任锚外,还与 GlobalSign Root CA (01SEP1998 - 28JAN2028, root-r1) 有背书,那么解决方案呼之欲出————拼接 GlobalSign GCC R6 AlphaSSL CA 2023, GlobalSign Root CA - R6 和 GlobalSign Root CA 即可解决问题。

AlphaSSL 新证书 GlobalSign GCC R6 AlphaSSL CA 2023 证书链修复教程 嵌入式,操作系统,兼容性,浏览器,GlobalSignRootCA
我要说一句 收起回复
创宇盾启航版免费网站防御网站加速服务

评论10

拾光Lv.8 发表于 2024-2-15 23:13:21 | 查看全部
证书连有问题的可以直接到第三方直接修护就可以了给你们工具https://myssl.com/chain_download.html
但是根证书始终是2014年的,在老设备还是会存在问题。还是之前1998的兼容性强呀!没办法咯
我要说一句 收起回复
独家记忆Lv.8 发表于 2024-2-15 23:14:06 | 查看全部
实际上你无论怎么搞,根证书都是2014的哪个了,不再是1998的哪个了。
我要说一句 收起回复
CrystαlLv.8 发表于 2024-2-15 23:14:53 | 查看全部
将以下代码块附加在叶子证书(第一个 BEGIN CERTIFICATE 起到第一个 END CERTIFICATE 止)后作为证书链:

https://pastebin.ubuntu.com/p/QNSRBbCC3G/

(你 loc 怎么这么多和谐词,,,)
我要说一句 收起回复
拾光Lv.8 发表于 2024-2-15 23:15:24 | 查看全部
好难懂啊。。。。紫薯补丁。。。。不过谢谢楼主。。。查看楼主博客链接得好好烟酒一下

https://blog.iks.moe/archives/AlphaSSL-2023-GlobalSign-R6-fullchain.html
我要说一句 收起回复
CrystαlLv.8 发表于 2024-2-15 23:15:32 | 查看全部
好帖,前两天也遇到这个问题了,没想到这个方案解决。:shutup:

简单来说就是自己的CERTIFICATE段,再加上楼主提供的两段即可修复,我在我自己的Android9上测试已经可以了。
我要说一句 收起回复
独家记忆Lv.8 发表于 2024-2-15 23:16:23 | 查看全部
如果在正规商家购买的话,直接reissue就可以了,会用新的CA签发,并且无需任何费用。
我要说一句 收起回复
IT618发布Lv.8 发表于 2024-2-15 23:17:19 | 查看全部
射射!!果然解决了。。。。嘢{:2_34:}
我要说一句 收起回复
TyCodingLv.8 发表于 2024-2-15 23:18:16 | 查看全部
@iks  本来Alpha提供的pem有两条-----BEGIN CERTIFICATE-----  

然后添加上楼主的两条,,pem一共有四条-----BEGIN CERTIFICATE-----

但SSL可以正常使用

请问可以精简吗?
我要说一句 收起回复
浅生Lv.8 发表于 2024-2-15 23:18:38 | 查看全部
太高端了,看不懂,IP已送
我要说一句 收起回复

回复

 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.119.19.206,GMT+8, 2024-12-22 12:54 , Processed in 0.260624 second(s), 133 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
QQ客服返回顶部
快速回复 返回顶部 返回列表