Nginx TLSv1.2 (OUT), TLS alert, unknown CA (560)
Moin an alle,
wiedermal sitze ich vor einer Herausforderung welche mich überfordert und bekomme noch nicht einmal ansatzweise mal eine Lösung.
Ich habe mir mal einen Suse Server aufgesetzt:
Kernel: 5.3.18-lp152.69-default x86_64 bits: 64 Console: tty 0 Distro: openSUSE Leap 15.2
Um uns etwas fortzubilden haben wir uns bei der Maschine für nginx/1.16.1 entschieden
Wir haben auf dem Server vorerst zwei vhosts mit der Nachfolgende Konfig angelegt.
Seite 1: /etc/nginx/sites/seite1_de.conf
Die Seite wird ganz gewöhnlich aufgerufen auch mit dem Port 443 keine Probleme. Mit keinem Browser. Weder mit Firefox noch Cronium.
Nun zum Problem: bei dem Aufruf über curl hingegen haben wir folgende Ausgabe:
Natürlich könnte man das auch ignorieren, nur denke ich mir, dass die Suchmaschinen-Spinnen damit nicht umgehen können.
Hat wer eine Idee, wo das Problem liegen könnte?
Viele Grüße
Ich
wiedermal sitze ich vor einer Herausforderung welche mich überfordert und bekomme noch nicht einmal ansatzweise mal eine Lösung.
Ich habe mir mal einen Suse Server aufgesetzt:
Kernel: 5.3.18-lp152.69-default x86_64 bits: 64 Console: tty 0 Distro: openSUSE Leap 15.2
Um uns etwas fortzubilden haben wir uns bei der Maschine für nginx/1.16.1 entschieden
Wir haben auf dem Server vorerst zwei vhosts mit der Nachfolgende Konfig angelegt.
Seite 1: /etc/nginx/sites/seite1_de.conf
server {
listen 111.11.111.11:80;
listen [::]:80;
server_name seite1.de www.seite1.de;
return 301 https://seite1.de$request_uri;
}
server {
listen 111.11.111.11:443 ssl;
listen [::]:443 ssl;
server_name seite1.de www.seite1.de;
ssl_certificate /etc/nginx/ssl-certs/2021_wc.seite1_de.crt;
ssl_trusted_certificate /etc/nginx/ssl-certs/2021_SectigoRSAExtendedValidationSecureServerCA.crt;
ssl_certificate_key /etc/nginx/ssl-certs/2021_wc.seite1_de.key;
root /srv/www/htdocs/shopware_seite1_de/public;
index index.php index.html;
allow 127.0.0.1;
allow 222.11.111.11;
allow 90.187.21.233;
allow 111.11.111.11;
allow 111.11.111.22;
deny all;
location /recovery/install {
allow 222.11.111.11;
allow 111.11.111.11;
allow 111.11.111.22;
deny all;
index index.php;
try_files $uri /recovery/install/index.php$is_args$args;
}
location /recovery/update/ {
allow 222.11.111.11;
allow 111.11.111.11;
allow 111.11.111.22;
deny all;
location /recovery/update/assets {
}
if (!-e $request_filename){
rewrite . /recovery/update/index.php last;
}
}
location / {
try_files $uri /index.php$is_args$args;
}
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
include fastcgi.conf;
fastcgi_param HTTP_PROXY "";
fastcgi_buffers 8 16k;
fastcgi_buffer_size 32k;
client_max_body_size 24M;
client_body_buffer_size 128k;
fastcgi_pass localhost:9000;
http2_push_preload on;
}
location /admin_status {
stub_status on;
allow ::1;
allow 222.11.111.11/32;
deny all;
}
access_log /srv/www/log/shopware_seite1_de-access.log;
error_log /srv/www/log/shopware_seite1_de-error.log;
}
Die Seite wird ganz gewöhnlich aufgerufen auch mit dem Port 443 keine Probleme. Mit keinem Browser. Weder mit Firefox noch Cronium.
Nun zum Problem: bei dem Aufruf über curl hingegen haben wir folgende Ausgabe:
curl -vvv https://seite1.de
* Trying 111.11.111.11:443...
* TCP_NODELAY set
* Connected to seite1.de (111.11.111.11) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html
curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
Natürlich könnte man das auch ignorieren, nur denke ich mir, dass die Suchmaschinen-Spinnen damit nicht umgehen können.
Hat wer eine Idee, wo das Problem liegen könnte?
Viele Grüße
Ich
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665909
Url: https://administrator.de/forum/nginx-tlsv1-2-out-tls-alert-unknown-ca-560-665909.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
9 Kommentare
Neuester Kommentar
Moin,
der Rechner auf dem du curl aufrust, kennt nicht alle CAs aus der Validierungskette deines Server-Zertifikates.
Abhllfe: Fehlende Zertifikate auf dem Rechner installieren, der CURL aufruft
Wenn FF, Chrome und Edge die Seite ohne Fehlermeldung öffnen sollte am TLS vom Webserver alles passen.
lg,
Slainte
der Rechner auf dem du curl aufrust, kennt nicht alle CAs aus der Validierungskette deines Server-Zertifikates.
Abhllfe: Fehlende Zertifikate auf dem Rechner installieren, der CURL aufruft
Wenn FF, Chrome und Edge die Seite ohne Fehlermeldung öffnen sollte am TLS vom Webserver alles passen.
lg,
Slainte
bei nginx muss man die kette manuel schliessen:
siehe:
https://ldeds.de/?q=nginx%20zertifikate%20kette
oder
https://blog.friedlandreas.net/2015/08/zertifikatskette-fuer-nginx/
siehe:
https://ldeds.de/?q=nginx%20zertifikate%20kette
oder
https://blog.friedlandreas.net/2015/08/zertifikatskette-fuer-nginx/