Pradžia

CSR generavimas

Patikrinimas

CRT diegimas

 Kaip įdiegti šakninį sertifikatą į Windows OS? Kaip įdiegti SSL sertifikatą cPanel serveryje? Kaip įdiegti SSL sertifikatą Microsoft Exchange serveryje? Kaip įdiegti SSL sertifikatą Plesk serveryje? Kaip įdiegti SSL sertifikatą Tomcat serveryje? Kaip įdiegti SSL sertifikatą Windows IIS 5/6 serveryje? Kaip įdiegti SSL sertifikatą Windows IIS 7/8/10 serveryje? Kaip įdiegti SSL sertifikatą Apache serveryje su mod_ssl? Kaip konvertuoti CRT failą į CER formatą? Kaip pasirinkti RSA šakninį sertifikatą? Kaip sugeneruoti PFX failą? Kaip sujungti šakninių sertifikatų grandinę? Kur rasti SSL sertifikato privatų raktą?

CRT atnaujinimas

HTTPS konfigūracija

Kaip pasirinkti RSA šakninį sertifikatą?

Tiek Sectigo, tiek Digicert nuo 2025 vasaros pasirašo naujus SSL sertifikatus naujais R46 root sertifikatais, kurie naudoja saugesnius raktus. R46 yra to paties RSA versija 46. Nebėra galimybės naudoti senųjų tarpinių sertifikatų, kurių pavadinime buvo trumpinys RSA be versijos numerio.

R46 veikia ir senuose įrenginiuose, tai nėra nauja nesuderinama technologija. Tačiau gauname užklausų iš klientų, kad su R46 šakniniais sertifikatais jiems kyla problemų senuose įrenginiuose.

Sertifikatų patikimumo problemos kyla ne dėl RSA versijos, o dėl konkrečių šakninių sertifikatų. Sectigo pradėjo naudoti R46 root sertifikatus tik 2021 metais. Jei naudojate nuo to laiko neatnaujintą įrangą, ji neturi šių root sertifikatų. Tačiau tai yra išsprendžiama su cross-signing. R46 root sertifikatai yra pasirašyti senaisiais USERTrust RSA Certification Authority ir AAA Certificate Services root sertifikatais. Todėl moderni įranga laiko R46 sertifikatus root, o senoji įranga – intermediate (subordinate) sertifikatais.

Moderni ir sena įranga naudoja skirtingas sertifikatų grandines, todėl kartais sertifikatai veikia tvarkingai moderniuose įrenginiuose ir neveikia senuose įrenginiuose. Kol kas visais tokiais atvejais mūsų klientų problemos kilo dėl vienos iš šių priežasčių:

  1. Neteisingai įdiegta tarpinių sertifikatų grandinė, todėl visa klientinė įranga gauna neteisingus tarpinius sertifikatus arba jų negauna iš viso. Tokiu atveju moderni įranga pati parsisiunčia teisingus tarpinius sertifikatus iš viešų serverių, o sena įranga tiesiog rodo klaidą, kad sertifikatas nepatikimas. Tikrinant su Quallys SSLLabs, turite matyti 3 Certification Paths, kurie veda į šiuos root: AAA Certificate Services, USERTrust RSA Certification Authority, Sectigo Public Server Authentication Root R46. Visose grandinėse turi nebūti jokių klaidų ir nė viename žingsnyje neturi būti Extra download – visus sertifikatus turi pateikti jūsų serveris.
  2. Į serverį įkeltas R46 sertifikatas nėra cross-signed, todėl sena įranga negali patikrinti jo patikimumo. Tokiu atveju tikrinant su Quallys SSLLabs matysite tik 1 Certification Paths. Tai yra reta problema, kai Sectigo pateikia optimizuotą tik moderniai įrangai skirtą sertifikatų grandinę. Tokiu atveju pasitikrinkite, ar jūsų R46 sertifikatas yra toks pat, kokį Sectigo nurodo čia: https://www.sectigo.com/faqs/detail/Sectigo-Public-Intermediates-and-Roots
  3. Problema yra ne su sertifikatų grandine, o su EKU (Extended Key Usage) arba TLS konfigūracija. Tame įrenginyje, kuriame neveikia SSL sertifikatas, atsidarykite sertifikatų grandinę su grafine vartotojo sąsaja (pvz., Windows Crypto Shell Extensions skiltis Certification Path) ir patikrinkite, kuris sertifikatas yra nepatikimas. Jei čia matote klaidų, atsiųskite ekrano nuotrauką mums. Jei prie visų sertifikatų nėra jokių klaidų (Status: This certificate is OK.), problema yra ne su sertifikatų grandine.

Jei nepavyksta patiems rasti problemos priežasties, atsiųskite mums ekrano nuotrauką, kurioje matytusi Certification Paths klaidos, arba Quallys SSLLabs ataskaitą.