Короче... написал на support@globalsign.com письмецо:
Неделю назад я приобрел сертификат AlphaSSL для домена **********. Поставил его на сервер IIS. Все современные браузеры ему доверяют. Все хорошо.
Но неожиданно обнаружилась небольшая проблема:
Некоторые браузеры в старых версиях Android не доверяют новому сертификату. Судя по всему, проблема заключается в том, что в старых версиях Android нет сертификата GlobalSign Root CA - R6 (10 декабря 2014), которым подписан мой сертификат. Из внешних источников я выяснил, что для решения этой проблемы нужно использовать GlobalSign Cross Certificate R1-R6. К сожалению, не смог найти на сайте GlobalSign вменяемую инструкцию - КАК ЕГО ИСПОЛЬЗОВАТЬ?
Буду благодарен за любую помощь в решении данной проблемы.
Через день получил ответ:
-------
Благодарим Вас за обращение в службу технической поддержки GlobalSign.
29 января у нас произошло обновление корневого и промежуточного сертификатов для AlphaSSL. Все AlphaSSL сертификаты выпущенные после 29 января, выпущены с новым корневым Root-R6 и новым промежуточным GlobalSign GCC R6 AlphaSSL CA 2023. Установка кросс сертификата на сервер поможет со старыми устройствами. Вам нужно установить GlobalSign Cross Certificate R1-R6 на сервер. Ссылку оставлю ниже. Установите его как промежуточный сертификат.
https://support.globalsign.com/ca-certificates/root-certificates/globalsign-cross-certificates
------
Поставил Cross Certificate R1-R6 в Промежуточные центры сертификации.
Все старые андроиды сразу перестали ругаться на мой купленный AlphaSSL.
Хавала яйцам!
очевидно, что добавить в цепочку сертификатов, вот здесь подробно описывается https://www.ispmanager.ru/docs/ispmanager-lite/ustanovka-ssl-sertifikata
в вашем случае, надо будет отредактировать предоставленные центром сертификации файлы и добавить промежуточный GlobalSign Cross Certificate R1-R6, его можно взять отсюда https://support.globalsign.com/ca-certificates/root-certificates/globalsign-cross-certificates, нажав на кнопку view in base 64, а также R1 GlobalSign Root Certificate, взяв его отсюда https://support.globalsign.com/ca-certificates/root-certificates/globalsign-root-certificates
то есть, получится что-то вроде
Докладываю о проделанной работе:
---------
Отредактировал файл сертификата - z.crt.
С помощью openssl собрал из него и приватного ключа файл z.pfx
Установил сертификат z.fpx в Windows 10 (песочница для всяких экспериментов)
Иду в certmgr.msc. Нахожу там свежеустановленный сертификат. В свойствах сертификата присутствует 4 уровня (R1 - R6 - Middle - Domain). Все красиво.
Иду в IIS. Импортирую сертификат z.fpx. Сертификат появляется в списке сертификатов сервера. Никаких ошибок.
Смотрю его свойства. Вижу 3 уровня (R6 - Middle - Domain). Протираю глаза. Не помогает.
Иду в certlm.msc. Там нахожу свежеимпортированнный сертификат. Открываю свойства. Вижу 3 уровня.
Можете подсказать, почему отвалился уровень (R1-R6) после импорта в IIS?
Спасибо заранее))
Приложил скриншоты путей сертификации
У меня всем этим хостер занимался, поэтому подсказать что-либо не могу. Но поддержка у GlobalSign очень быстрая и на русском языке. Так что если какие вопросы, то лучше пишите на support @ globalsign.com .
А так да, нужно добавить в цепочку сертификатов GlobalSign Cross Certificate R1-R6 взятым отсюда https://support.globalsign.com/ca-certificates/root-certificates/globalsign-cross-certificates
Ок. Понятно. Спасибо.
Коллега, спасибо за инструкцию.
Попробую отредактировать, пересобрать и переустановить сертификат. Результаты доложу.
Присоединяюсь. Тоже нашел этот сертификат но никак не возьму в толк, как его доустановить на сервер к основному (isp manager).
Если найдете лекарство, скиньте, плиз)
Я пока нашел только источник проблемы - https://hosting.kitchen/leaderssl-ru/globalsign-perehodit-na-novye-kornevye-sertifikaty-alpha-ssl.html
Здравствуйте, коллега!
А можно чуть подробнее про GlobalSign Cross Certificate?
Я покопал на сайте GlobalSign. Нашел страницу Cross Certificates, с которой можно скачать сертификат R1-R6. Но нет вменяемой инструкции, куда его ставить в среде Windows Server 2019 (IIS).
Меня угораздило купить AlphaSSL, подписанный связкой GlobalSign Root CA - R6 (10 декабря 2014 - 10 декабря 2034) + GlobalSign GCC R6 AlphaSSL CA 2023 (19 июля 2023 - 19 июля 2026). Андроиды версий 8.1 и младше ругаются на него. Хотелось бы это вылечить.
Буду благодарен за посыл в правильном направлении))