개인 SSL 인증서 및 CA의 다양한 문제

Question

이 질문은 솔직히 SSL 인증서 전문가가 아니며 여러 언어로 된 코드이기 때문에 공개적으로 끝났습니다. "코드"문제가 아니며 인프라 문제가 더 이상 없을 수도 있지만이 시점에서 올바른 방향으로 나를 가리켜 줄 사람이 필요합니다. 개인 네트워크의 내부 서비스에 대한 IT 부서의 인증서가 최근 발행되었습니다. Nginx를 사용하여 443에서 수신 대기하고 80에서 443으로 리디렉션합니다. 모든 것이 Chrome에서 완벽하게 작동하는 것으로 보이지만 Firefox 문제로 전환하면 표시되기 시작합니다. 파이어 폭스는 자체 서명 인증서처럼 사이트를 취급한다. 명시 적으로 무시하라는 지시를해야한다.

================================================================================ 
     Error executing action `create` on resource 'remote_file[Download Installer]' 
     ================================================================================ 

     OpenSSL::SSL::SSLError 
     ---------------------- 
     SSL Error connecting to http://service.domain.com/download/client - SSL Error connecting to https://service.domain.com/download/client - SSL_connect returned=1 errno=0 state=error: certificate verify failed 

나 ':이 문제는 오류의 다음과 같은 종류로 (복사 등 파일, API) 내 요리사의 요리 책은 지금 내 내부 서비스 중 하나에 액세스 할 때 어떤 자리에 실패, 그러나 거기서 끝나지 않는다 Ruby 및 NodeJS 라이브러리에서 이와 동일한 오류가 발생합니다. 나는 대부분의 경우 신뢰할 수없는 라이브러리를 무시하도록 설정함으로써 임시적으로 해결할 수있었습니다. 왜 이런 일이 일어나는지 이해해야합니다. 내 인증 기관이 올바르게 설정되지 않았으며 IT 담당자에게 일부 구성을 변경하도록 요청해야합니까? 이러한 HTTPS 서비스에 액세스해야하는 모든 단일 시스템에 인증서를 복사해야합니까? Chrome이 정상적으로 작동하는 이유는 무엇입니까? 내 로컬 컴퓨터에서 Chrome 테스트에서 오탐 (false positives)을 유발할 수있는 로컬 인증서가 있는지 검색했지만 어떤 영향도 미칠 로컬이 없습니다. Chrome이 네트워크를 통해 CA를 해결하는 것 같습니다. (이것이 내가이 방법을 사용한다고 가정 한 것입니다.) 어떤 도움이라도 대단히 감사합니다. 고마워요.

Answer 1

이러한 HTTPS 서비스에 액세스해야하는 모든 단일 컴퓨터에 인증서를 복사해야합니까? Chrome이 정상적으로 작동하는 이유는 무엇입니까?

내부 CA를 사용하는 호스트에이 연결을 사용해야하는 모든 클라이언트는이 CA를 신뢰해야합니다. 내 생각 엔 관리자가 모든 컴퓨터의 Windows 트러스트 저장소에 CA가 포함되어 있는지 확인했습니다. 이는 정책으로 쉽게 수행 할 수 있기 때문입니다. 그러나 Firefox, Ruby, NodeJS, 자바 (또는 다른 여러 도구)는 Windows 트러스트 스토어를 사용하지 않지만 그들 만의 툴을 가지고 있습니다. 따라서 로컬 CA는 이러한 모든 트러스트 스토어에도 포함되어야합니다.