Comodo/Sectigo: Lỗi Root certificate has expired
Sử dụng SSL của Sectigo và nhận được lỗi certificate has expired

Lỗi có liên quan đến 1 bản ROOT của Comodo/Sectigo được tích hợp trong nhân hệ điều hành hết hạn vào ngày 30/05/2020, khi máy chủ tìm thấy SSL được cấp bởi ROOT với tên khớp trên hệ thống, nó sẽ lấy bản root trên hệ thống thay vì bản root được server trả về.


Chi tiết bản cập nhật https://support.sectigo.com/Com_KnowledgeDetailPag...

Bản root này đã được hãng thay thế và cập nhật trên các máy chủ hiện nay, hiện nay không còn sử dụng và nó đã được cập nhật trên các hệ thống máy chủ /máy khách/ trình duyệt hiện tại và website có thể sử dụng mà không gặp bất cứ vấn đề gì trên các thiết bị hiện nay.

Trong hầu hết trường hợp, người dùng không cần thực hiện bất cứ thay đổi gì và không ảnh hưởng gì cả.

Tuy nhiên, trong 1 vài trường hợp liên quan đến các hệ thống máy chủ cũ, các hệ thống truy cập qua API có thể bị ảnh hưởng, khách hàng có thể cấu hình bỏ qua vấn đề này trong mã nguồn của ứng dụng

Đây là một tình huống vô lý và ngoài sự kiểm soát của chúng tôi. Chúng tôi rất xin lỗi vì điều này, chúng tôi đã trao đổi với Sectigo nhiều lần về việc này và họ đều đảm bảo không ảnh hưởng và chúng tôi cũng đã kiểm tra thử trên các hệ thống và trình duyệt mà chúng tôi có.

Phải làm gì khi gặp vấn đề này?

Cập nhật lại bản Root bundle trên máy chủ

Truy cập chi tiết đơn hàng -> Chọn Cấp lại SSL -> Sử dụng CSR hiện tại -> Kiểm tra CSR -> Chọn 1 email để xác thực -> Kết thúc
Đợi vài phút để hệ thống ban hành SSL mới.
Sau khi có mã SSL mới, vui lòng cập nhật trong mục ROOT Bundle trên máy chủ, sau đó restart lại webservice để có hiệu lực

Bạn cũng cần cập nhật OpenSSL lên phiên bản 1.1.1 hoặc lớn hơn


Trên CentOS

yum update
yum install make gcc perl pcre-devel zlib-devel
	
Cài đặt WGET
yum install wget
	
Tải về bản mới nhất của OPENSSL
cd /usr/local/src
wget https://www.openssl.org/source/openssl-1.1.1f.tar.gz
	
Sau đó, giản nén tập tin tải về
tar -zxf openssl-1.1.1f.tar.gz && cd openssl-1.1.1f
	
Chạy lệnh để cấu hình
./config --prefix=/usr --openssldir=/etc/ssl --libdir=lib no-shared zlib-dynamic
	
Bắt đầu biên dịch
make
make test
	
Sau đó, cài đặt OpenSSL
make install
	
Nếu không xảy ra lỗi, chạy lệnh
export LD_LIBRARY_PATH=/usr/local/lib:/usr/local/lib64
echo "export LD_LIBRARY_PATH=/usr/local/lib:/usr/local/lib64" >> ~/.bashrc
	
Kiểm tra phiên bản OpenSSL
openssl version
	

Trên Ubuntu

Mở terminal Ctrl+Alt+t

Tải bản OpenSSL mới nhất

wget https://www.openssl.org/source/openssl-1.1.1f.tar.gz
	
tar -zxf openssl-1.1.1f.tar.gz && cd openssl-1.1.1f
	

Sử dụng lệnh

    ./config
make
	

Có thể cần dùng lệnh: sudo apt install make gcc

Chạy lệnh kiểm tra

make test
	
sudo mv /usr/bin/openssl ~/tmp
	

Sử dụng lệnh cài đặt

sudo make install
	

Tạo liên kết tới thư viện

sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
	

Sử dụng lệnh

sudo ldconfig
	

Kiểm tra phiên bản OpenSSL

openssl version
	

Kết quả trả về là OpenSSL 1.1.1 11 Sep 2018

Cập nhật Root Bundle trên máy chủ [Tùy chọn]

Tải về tập tin root bundle
https://crt.sh/?d=1282303295
https://crt.sh/?d=2545965608
	
Sau đó tải lên thư mục CENTOS OS
/etc/pki/ca-trust/source/anchors/
	
chạy lệnh
yum install ca-certificates
update-ca-trust enable
update-ca-trust extract
	

Ubuntu
/usr/local/share/ca-certificates/
	
Chạy lệnh
update-ca-certificates
update-ca-certificates --fresh
	

Cập nhật php-curl

Bạn cần reinstall gói php-curl để php hoạt động

Nếu lỗi không được khắc phục, vui lòng liên hệ nhân viên hỗ trợ.

Sản phẩm của Sản phẩm của Hào Quang Việt

Đăng ký nhận bản tin

Nhận phiếu giảm giá dành riêng cho bạn và thông tin bảo mật bằng cách đăng ký nhận bản tin của chúng tôi (gửi hai lần mỗi tháng)

MuaSSL.com trên