ฉันมีเครือข่ายท้องถิ่นที่ที่อยู่ IP ของเซิร์ฟเวอร์ [เซิร์ฟเวอร์] คือ: 192.168.88.201 โฮสต์: local.mydomain.com เซิร์ฟเวอร์นี้คือ Ubuntu 18.04.6 LTS ที่ใช้ Apache+PHP เซิร์ฟเวอร์นี้มี Let's encrypt SSL ติดตั้งโดยใช้ certbot
เมื่อใช้คอมพิวเตอร์เครื่องอื่นบนเครือข่ายท้องถิ่น SSL จะทำงานได้ดี https://local.mydomain.com -> Chrome แสดงว่าการรับรองถูกต้อง
ปัญหาเกิดขึ้นเมื่อเซิร์ฟเวอร์เชื่อมต่อเองและคิดว่าการรับรองไม่ถูกต้อง
ฉันติดอยู่ที่นี่เพราะฉันไม่แน่ใจว่าปัญหาอาจอยู่ที่ใด คุณมีข้อเสนอแนะใด ๆ ?
ตัวอย่างเช่น: ในเทอร์มินัลของ [SERVER] เมื่อ:
root@server:/tmp# wget https://local.mydomain.com
--2022-01-07 07:47:18-- https://local.mydomain.com/
กำลังแก้ไข local.mydomain.com (local.mydomain.com)... 192.168.88.201
กำลังเชื่อมต่อกับ local.mydomain.com (local.mydomain.com)|192.168.88.201|:443... เชื่อมต่อแล้ว
ข้อผิดพลาด: ไม่สามารถยืนยันใบรับรองของ local.mydomain.com ซึ่งออกโดย âCN=R3,O=Let's Encrypt,C=USâ:
ไม่สามารถยืนยันอำนาจของผู้ออกได้
หากต้องการเชื่อมต่อกับ local.mydomain.com อย่างไม่ปลอดภัย ให้ใช้ `--no-check-certificate'
root@server:/tmp#openssl s_client -เชื่อมต่อ local.mydomain.com:443 -prexit > a.txt
เชื่อมต่อแล้ว(00000005)
---
ห่วงโซ่ใบรับรอง
0 วินาที:CN = local.mydomain.com
i:C = US, O = Let's Encrypt, CN = R3
---
ใบรับรองเซิร์ฟเวอร์
-----เริ่มต้นใบรับรอง-----
***
-----จบใบรับรอง-----
เรื่อง = CN = local.mydomain.com
ผู้ออก = C = US, O = Let's Encrypt, CN = R3
---
ไม่มีการส่งชื่อ CA ของใบรับรองไคลเอ็นต์
สรุปการลงนามเพียร์: SHA256
ประเภทลายเซ็นเพียร์: RSA-PSS
คีย์อุณหภูมิเซิร์ฟเวอร์: X25519, 253 บิต
---
SSL handshake อ่าน 2005 ไบต์และเขียน 402 ไบต์
ข้อผิดพลาดในการยืนยัน: ไม่สามารถตรวจสอบใบรับรองใบแรกได้
---
ใหม่ TLSv1.3 การเข้ารหัสคือ TLS_AES_256_GCM_SHA384
รหัสสาธารณะของเซิร์ฟเวอร์คือ 2048 บิต
ไม่สนับสนุนการเจรจาใหม่ที่ปลอดภัย
การบีบอัด: ไม่มี
การขยายตัว: ไม่มี
ไม่มีการเจรจา ALPN
ข้อมูลต้นไม่ได้ถูกส่ง
ตรวจสอบรหัสส่งคืน: 21 (ไม่สามารถตรวจสอบใบรับรองใบแรกได้)
---
HTTP/1.1 400 คำขอไม่ถูกต้อง
วันที่: วันศุกร์ที่ 07 มกราคม 2022 06:53:07 น. GMT
เซิร์ฟเวอร์: Apache/2.4.29 (อูบุนตู)
ความยาวเนื้อหา: 313
การเชื่อมต่อ: ปิด
ประเภทเนื้อหา: text/html; ชุดอักขระ=iso-8859-1
<!DOCTYPE HTML สาธารณะ "-//IETF//DTD HTML 2.0//EN">
<html><หัวเรื่อง>
<title>400 คำขอไม่ถูกต้อง</title>
</หัว><ตัว>
<h1>คำขอไม่ถูกต้อง</h1>
<p>เบราว์เซอร์ของคุณส่งคำขอที่เซิร์ฟเวอร์นี้ไม่เข้าใจ<br />
</p>
<ชั่วโมง>
<ที่อยู่>เซิร์ฟเวอร์ Apache/2.4.29 (Ubuntu) ที่ local.mydomain.com พอร์ต 443</address>
</body></html>
---
ตั๋วเซสชันใหม่หลังงานจับมือมาถึงแล้ว:
เซสชัน SSL:
โปรโตคอล : TLSv1.3
รหัส : TLS_AES_256_GCM_SHA384
รหัสเซสชัน: E5F662F909BA717C5FA0D6DBBDA777CA284E164FACC4784915D7E08DF39B63DB
เซสชัน-ID-ctx:
การเริ่มต้นใหม่ PSK: FFA7F4A4502316545E4147887CE4A7D552DDF54A92A8C2B5D87601BEA01B8DDEC2292004635AC152E71188CEDEF099CE
ตัวตน PSK: ไม่มี
คำใบ้ประจำตัว PSK: ไม่มี
ชื่อผู้ใช้ SRP: ไม่มี
คำแนะนำอายุการใช้งานตั๋วเซสชัน TLS: 300 (วินาที)
ตั๋วเซสชั่น TLS:
0000 ****
เวลาเริ่มต้น: 1641538382
หมดเวลา : 7200 (วินาที)
ตรวจสอบรหัสส่งคืน: 21 (ไม่สามารถตรวจสอบใบรับรองใบแรกได้)
ความลับหลักเพิ่มเติม: ไม่
ข้อมูลต้นทางสูงสุด: 0
---
อ่าน R BLOCK
---
ตั๋วเซสชันใหม่หลังงานจับมือมาถึงแล้ว:
เซสชัน SSL:
โปรโตคอล : TLSv1.3
รหัส : TLS_AES_256_GCM_SHA384
รหัสเซสชัน: BABB13C496B291A43F4FDDCD20FE5568574F79ACA2D06203A53D9072FBE3A2C8
เซสชัน-ID-ctx:
การเริ่มต้นใหม่ PSK: 90F330C4D3B9BA54DB4CA687400E692CC7AF250F7E6A58493D579A9DD6C3DBA3E5B1F2BA94DA7AEA8CF483C2FB19211B
ตัวตน PSK: ไม่มี
คำใบ้ประจำตัว PSK: ไม่มี
ชื่อผู้ใช้ SRP: ไม่มี
คำแนะนำอายุการใช้งานตั๋วเซสชัน TLS: 300 (วินาที)
ตั๋วเซสชั่น TLS:
0000 - ***
เวลาเริ่มต้น: 1641538382
หมดเวลา : 7200 (วินาที)
ตรวจสอบรหัสส่งคืน: 21 (ไม่สามารถตรวจสอบใบรับรองใบแรกได้)
ความลับหลักเพิ่มเติม: ไม่
ข้อมูลต้นทางสูงสุด: 0
---
อ่าน R BLOCK
---
ห่วงโซ่ใบรับรอง
0 วินาที:CN = local.mydomain.com
i:C = US, O = Let's Encrypt, CN = R3
---
ใบรับรองเซิร์ฟเวอร์
-----เริ่มต้นใบรับรอง-----
***
-----จบใบรับรอง-----
เรื่อง = CN = local.mydomain.com
ผู้ออก = C = US, O = Let's Encrypt, CN = R3
---
ไม่มีการส่งชื่อ CA ของใบรับรองไคลเอ็นต์
สรุปการลงนามเพียร์: SHA256
ประเภทลายเซ็นเพียร์: RSA-PSS
คีย์อุณหภูมิเซิร์ฟเวอร์: X25519, 253 บิต
---
SSL handshake อ่าน 3152 ไบต์และเขียน 450 ไบต์
ข้อผิดพลาดในการยืนยัน: ไม่สามารถตรวจสอบใบรับรองใบแรกได้
---
ใหม่ TLSv1.3 การเข้ารหัสคือ TLS_AES_256_GCM_SHA384
รหัสสาธารณะของเซิร์ฟเวอร์คือ 2048 บิต
ไม่สนับสนุนการเจรจาใหม่อย่างปลอดภัย
การบีบอัด: ไม่มี
การขยายตัว: ไม่มี
ไม่มีการเจรจา ALPN
ข้อมูลต้นไม่ได้ถูกส่ง
ตรวจสอบรหัสส่งคืน: 21 (ไม่สามารถตรวจสอบใบรับรองใบแรกได้)
---
ห่วงโซ่ใบรับรอง
0 วินาที:CN = local.mydomain.com
i:C = US, O = Let's Encrypt, CN = R3
เซิร์ฟเวอร์ได้รับการกำหนดค่าไม่ถูกต้องและส่งเฉพาะเชนที่ไม่สมบูรณ์ ขาดใบรับรองระดับกลาง ไซต์ที่กำหนดค่าอย่างถูกต้องควรส่งคืนใบรับรองระดับกลางเพิ่มเติม ซึ่งนำไปสู่ ISRG Root X1 Let's Encrypt มีเซิร์ฟเวอร์ตัวอย่างสำหรับสิ่งนี้:
$ openssl s_client -เชื่อมต่อถูกต้อง isrgrootx1.letsencrypt.org:443
...
ห่วงโซ่ใบรับรอง
0 วินาที:CN = ถูกต้อง isrgrootx1.letsencrypt.org
i:C = US, O = Let's Encrypt, CN = R3
1 วินาที:C = US, O = Let's Encrypt, CN = R3
i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
เมื่อใช้คอมพิวเตอร์เครื่องอื่น ... Chrome แสดงว่าการรับรองถูกต้อง
เบราว์เซอร์มักจะแก้ไขการกำหนดค่าที่ไม่ถูกต้องได้สำเร็จโดยการดาวน์โหลดใบรับรองระดับกลางที่ขาดหายไปหรือใช้สำเนาที่แคชไว้ ลูกค้ารายอื่นจะไม่ ดังนั้นจึงไม่ควรตรวจสอบว่าใช้งานได้กับเบราว์เซอร์เท่านั้นหรือไม่ ใช้แทนไซต์เช่น ห้องปฏิบัติการ SSL ซึ่งจะรายงานว่า "ปัญหาลูกโซ่" เป็นปัญหาในกรณีของคุณ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
