Je váš SSL certifikát správně nainstalovaný?

11.3.2013 | Jindřich Zechmeister

Instalace SSL certifikátu na server není složitá, ale pro důvěryhodnost certifikátu je nutné dodržet správný postup. Pokud se chcete ujistit, že se tak stalo, a že je váš certifikát správně nainstalovaný, náš návod vám pomůže.

Ověřovač správnosti instalace

Samotné certifikační autority na svých webových stránkách umožňuji provést kontrolu správnosti instalace. Tento nástroj dokáže identifikovat nejčastější chyby a při absenci Intermediate certifikátů vám ty správné přímo nabídne ke stažení.

Pro certifikáty autorit Symantec (dříve Verisign), Thawte a GeoTrust můžete použít nový a pokročilejší ověřovač instalace od Symantecu zvaný SSL Certificate Checker.

Do ověřovače vložte celý název domény, pro kterou byl certifikát vystaven a klikněte na Validate. Ověřovač se poté připojí na váš server a prověří správnost instalace certifikátu.

Symantec SSL certificate checker

Tímto nástrojem můžete také dekódovat obsah CSR requestu (žádosti o certifikát, veřejného klíče).

Pro SSL certifikáty RapidSSL použijte nástroj této autority RapidSSL Certificate Installation Checker. Do něj uveďte vaši doménu a pokud nemáte webový server nastaven jinak, ponechte předvyplněný port 443.

Je-li váš SSL certifikát na serveru správně nainstalován a důvěryhodný, ověřovač vám oznámí, že je vše v pořádku a že je Chain kompletní (též ho kompletně vypíše).

Výsledek testu důvěryhodného SSL certifikátu

V opačném případě vám sdělí příčinu chyby. Tento test našel chybu a příčinou jsou chybějící Intermediate certifikáty.

Nekompletní Chain certifikátu

Pokud na serveru chybí Intermediate certifikáty, rovnou vám je vypíše, abyste je nemuseli hledat.

Chybějící Intermediate certifikát ověřovač nabídne je stažení

Intermediate certifikát je uveden v textovém formátu a kódování Base64. Můžete ho tedy z webu zkopírovat, uložit, a na server nainstalovat. Při instalaci vám pomohou články nápovědy SSLmarket, kde najdete konkrétní postup pro váš webový server.

Ověřovače instalace jsou automatické a nejsou vždy neomylné. Pokud vám tedy ověřovač ukazuje zvláštní chybu nebo odmítá test provést, doporučuji zkontrolovat správnost instalace ručně.

Ruční ověření řetězu důvěry

Správnost nainstalování Intermediate certifikátů, a tedy i důvěryhodnost certifikátu, můžete ověřit i manuálně. Stačí ve vašem prohlížeči zobrazit detail certifikátu. V Internet Exploreru tak učiníte kliknutím na ikonu zámku vpravo od adresního řádku.

Internet Explorer - zobrazení detailu certifikátu

U prohlížeče Chrome je tato ikona umístěna na opačné straně.

Zobrazení detailu certifikátu v Chrome

Po kliknutí na Zobrazit certifikáty, resp. Informace o certifikátu, se vám zobrazí stejné okno s jeho detaily. V první záložce okna vidíte detaily SSL certifikátu, jeho datum vystavení a expirace, doménu, pro který je důvěryhodný. V druhé záložce okna potom jeho technické detaily a informace v certifikátu uvedené. Ve třetí záložce je potom informace o "řetězu" certifikátu.

V tzv. Chain of Trust (řetěz důvěry) uvidíte vztah vašeho certifikátu k důvěryhodným kořenovým certifikátům autorit. Toto propojení, které je zprostředkováno Intermediate certifikátem, zajišťuje důvěryhodnost certifikátu. Při správné instalaci certifikátu z rodiny Symantec uvidíte v detailu dva Intermediate certifikáty, na něž se napojuje váš certifikát na nejnižší úrovni. Root certifikát, který distribuuje výrobce vašeho operačního systému, se v moderních prohlíčích většinou nezobrazuje.

 Chain důvěryhodného SSL certifikátu

Pokud v záložce Cesta k certifikátu vidíte pouze váš certifikát a žádné další, nebyly Intermediate certifikáty nainstalovány a důvěryhodnosti certifikátu nebylo dosaženo. V následujícím příkladu je použit tzv. Self-signed certifikát programu Zune, ale tato chyba upozorňující na neznámého vydavatele je u serverových certifikátů zobrazena stejně, případně s upozorněním, že vydavatele nelze ověřit.

Nedůvěryhodný certifikát

 V záložce Obecné je potom vysvětleno, že systém nedůvěřuje kořenové autoritě vystavitele certifikátu.

Nedůvěryhodná kořenová autorita

Chybové hlášky mohou mít různé znění, ale důvod je tentýž. V případě správně nainstalovaného SSL certifikátu a Intermediate certifikátů je důvěryhodnost v pořádku, systém vystaviteli důvěřuje a nezobrazuje se žádná chyba.

Detail důvěryhodného certifikátu

Máte s instalací vašeho certifikátu problémy?

V případě problémů s instalací SSL certifikátu neváhejte kontaktovat naši zákaznickou podporu


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz