Je váš SSL certifikát správně nainstalovaný?

11.3.2013 | Jindřich Zechmeister

Instalace SSL certifikátu na server není složitá, ale pro důvěryhodnost certifikátu je nutné dodržet správný postup. Pokud se chcete ujistit, že se tak stalo, a že je váš certifikát správně nainstalovaný, náš návod vám pomůže.

Ověřovač správnosti instalace

Samotné certifikační autority na svých webových stránkách umožňuji provést kontrolu správnosti instalace. Tento nástroj dokáže identifikovat nejčastější chyby a při absenci Intermediate certifikátů vám ty správné přímo nabídne ke stažení.

Pro certifikáty autorit Symantec (dříve Verisign), Thawte a GeoTrust můžete použít nový a pokročilejší ověřovač instalace od Symantecu zvaný SSL Certificate Checker.

Do ověřovače vložte celý název domény, pro kterou byl certifikát vystaven a klikněte na Validate. Ověřovač se poté připojí na váš server a prověří správnost instalace certifikátu.

Tímto nástrojem můžete také dekódovat obsah CSR requestu (žádosti o certifikát, veřejného klíče).

Pro SSL certifikáty RapidSSL použijte nástroj této autority RapidSSL Certificate Installation Checker. Do něj uveďte vaši doménu a pokud nemáte webový server nastaven jinak, ponechte předvyplněný port 443.

Je-li váš SSL certifikát na serveru správně nainstalován a důvěryhodný, ověřovač vám oznámí, že je vše v pořádku a že je Chain kompletní (též ho kompletně vypíše).

V opačném případě vám sdělí příčinu chyby. Tento test našel chybu a příčinou jsou chybějící Intermediate certifikáty.

Pokud na serveru chybí Intermediate certifikáty, rovnou vám je vypíše, abyste je nemuseli hledat.

Intermediate certifikát je uveden v textovém formátu a kódování Base64. Můžete ho tedy z webu zkopírovat, uložit, a na server nainstalovat. Při instalaci vám pomohou články nápovědy SSLmarket, kde najdete konkrétní postup pro váš webový server.

Ověřovače instalace jsou automatické a nejsou vždy neomylné. Pokud vám tedy ověřovač ukazuje zvláštní chybu nebo odmítá test provést, doporučuji zkontrolovat správnost instalace ručně.

Ruční ověření řetězu důvěry

Správnost nainstalování Intermediate certifikátů, a tedy i důvěryhodnost certifikátu, můžete ověřit i manuálně. Stačí ve vašem prohlížeči zobrazit detail certifikátu. V Internet Exploreru tak učiníte kliknutím na ikonu zámku vpravo od adresního řádku.

U prohlížeče Chrome je tato ikona umístěna na opačné straně.

Po kliknutí na Zobrazit certifikáty, resp. Informace o certifikátu, se vám zobrazí stejné okno s jeho detaily. V první záložce okna vidíte detaily SSL certifikátu, jeho datum vystavení a expirace, doménu, pro který je důvěryhodný. V druhé záložce okna potom jeho technické detaily a informace v certifikátu uvedené. Ve třetí záložce je potom informace o "řetězu" certifikátu.

V tzv. Chain of Trust (řetěz důvěry) uvidíte vztah vašeho certifikátu k důvěryhodným kořenovým certifikátům autorit. Toto propojení, které je zprostředkováno Intermediate certifikátem, zajišťuje důvěryhodnost certifikátu. Při správné instalaci certifikátu z rodiny Symantec uvidíte v detailu dva Intermediate certifikáty, na něž se napojuje váš certifikát na nejnižší úrovni. Root certifikát, který distribuuje výrobce vašeho operačního systému, se v moderních prohlíčích většinou nezobrazuje.

Pokud v záložce Cesta k certifikátu vidíte pouze váš certifikát a žádné další, nebyly Intermediate certifikáty nainstalovány a důvěryhodnosti certifikátu nebylo dosaženo. V následujícím příkladu je použit tzv. Self-signed certifikát programu Zune, ale tato chyba upozorňující na neznámého vydavatele je u serverových certifikátů zobrazena stejně, případně s upozorněním, že vydavatele nelze ověřit.

 V záložce Obecné je potom vysvětleno, že systém nedůvěřuje kořenové autoritě vystavitele certifikátu.

Chybové hlášky mohou mít různé znění, ale důvod je tentýž. V případě správně nainstalovaného SSL certifikátu a Intermediate certifikátů je důvěryhodnost v pořádku, systém vystaviteli důvěřuje a nezobrazuje se žádná chyba.

Máte s instalací vašeho certifikátu problémy?

V případě problémů s instalací SSL certifikátu neváhejte kontaktovat naši zákaznickou podporu.