Dalam dunia digital hari ini, sijil SSL (Secure Sockets Layer) memainkan peranan penting dalam memastikan komunikasi selamat antara pelanggan dan pelayan. Walau bagaimanapun, apabila menyediakan sijil SSL, satu isu biasa yang sering dihadapi oleh pembangun, pentadbir dan pengguna ialah ralat: "Masalah sijil SSL: tidak dapat mendapatkan sijil pengeluar tempatan." Ralat ini menunjukkan masalah dengan proses pengesahan sijil SSL, menghalang komunikasi selamat.
Dalam artikel ini, kami akan meneroka maksud ralat ini, punca lazimnya dan penyelesaian langkah demi langkah untuk menyelesaikannya. Selain itu, kami akan membincangkan cara sijil SSL berfungsi dan sebab memastikan pengesahan sijil yang betul adalah penting untuk keselamatan web.
Apakah itu Sijil SSL?
Sebelum menyelami ralat, mari kita fahami secara ringkas peranan sijil SSL.
Sijil SSL ialah sijil digital yang mengesahkan identiti tapak web dan menyulitkan data yang dihantar antara pelayan dan klien (seperti pelayar web). Penyulitan ini memastikan bahawa maklumat sensitif, seperti bukti kelayakan log masuk, butiran pembayaran atau data peribadi, kekal selamat dan peribadi semasa penghantaran.
Sijil SSL dikeluarkan oleh Pihak Berkuasa Sijil (CA), entiti yang dipercayai yang mengesahkan ketulenan tapak web atau organisasi. Apabila penyemak imbas web atau pelanggan menyambung ke pelayan, ia mengesahkan sijil SSL untuk memastikan identiti pelayan adalah sah.
Apakah Maksud "Masalah Sijil SSL: Tidak Dapat Mendapat Sijil Pengeluar Tempatan"?
Ralat "Masalah sijil SSL: tidak dapat sijil pengeluar tempatan" berlaku apabila pelanggan (pelayar, aplikasi atau alat baris perintah) gagal mengesahkan rantaian amanah sijil SSL.
Sijil SSL dikeluarkan dalam format rantaian:
- Sijil Pengguna Akhir: Sijil untuk tapak web atau perkhidmatan.
- Sijil Perantaraan: Sijil yang dikeluarkan oleh CA, memautkan sijil pengguna akhir ke akar.
- Sijil Root: Sijil dipercayai yang dikeluarkan oleh Pihak Berkuasa Sijil yang diiktiraf secara meluas.
Untuk SSL berfungsi dengan betul, pelanggan mesti mengesahkan keseluruhan rantaian sijil—daripada sijil pengguna akhir kepada sijil perantaraan dan akhirnya kepada sijil akar yang dipercayai. Jika salah satu sijil perantaraan tiada atau sistem setempat tidak dapat mencari sijil akar, ralat akan dicetuskan.
Punca Biasa Ralat "Tidak Dapat Mendapat Sijil Pengeluar Tempatan".
Ralat SSL ini boleh berlaku atas pelbagai sebab. Berikut adalah beberapa punca yang paling biasa:
- Sijil Perantaraan Hilang: Punca paling kerap ralat ini ialah ketiadaan sijil perantaraan pada pelayan. Jika pelayan tidak menyediakan keseluruhan rantaian sijil, pelanggan tidak akan dapat mengesahkan sijil SSL.
- Sijil Root Lapuk atau Hilang: Jika mesin pelanggan tidak mempunyai sijil akar yang betul, ia tidak akan dapat mempercayai sijil SSL, walaupun rantaian disediakan dengan betul oleh pelayan. Ini boleh berlaku jika stor sijil pelanggan sudah lapuk atau tiada sijil akar yang diperlukan.
- Sijil Ditandatangani Sendiri: Sijil yang ditandatangani sendiri ialah sijil yang tidak ditandatangani oleh Pihak Berkuasa Sijil yang dipercayai. Jika pelayan menggunakan sijil yang ditandatangani sendiri, ia tidak akan dipercayai melainkan sijil itu ditambahkan secara eksplisit pada kedai amanah pelanggan.
- Konfigurasi SSL Salah: Salah konfigurasi SSL pada pelayan boleh membawa kepada isu ini. Sebagai contoh, jika pelayan tidak menyediakan rangkaian penuh sijil, pelanggan tidak akan dapat mengesahkan sijil SSL, menyebabkan ralat "tidak dapat mendapatkan sijil pengeluar tempatan".
- Isu Kedai Sijil Tempatan: Kadangkala, kedai sijil tempatan pelanggan mungkin telah tamat tempoh, tersalah konfigurasi atau kehilangan sijil akar atau perantaraan penting, yang membawa kepada ralat SSL.
- Rantaian Sijil Terputus: Jika pihak berkuasa sijil telah membatalkan atau tamat tempoh salah satu sijil dalam rantaian, pelanggan tidak akan dapat mengesahkan sijil SSL, mengakibatkan ralat ini.
Cara Memperbaiki "Masalah Sijil SSL: Tidak Dapat Mendapat Sijil Pengeluar Tempatan"
Untuk menyelesaikan ralat ini, anda perlu menangani punca utama, sama ada isu di bahagian pelayan, pihak klien atau disebabkan salah konfigurasi sijil. Berikut ialah beberapa penyelesaian berdasarkan punca biasa:
- Pasang Sijil Perantaraan pada Pelayan
Salah satu cara paling berkesan untuk menyelesaikan ralat ini ialah memastikan pelayan menyediakan rantaian sijil penuh, termasuk sijil perantaraan.
Penyelesaian:
• Dapatkan sijil perantaraan daripada pembekal sijil SSL anda atau Pihak Berkuasa Sijil.
• Tambahkan sijil perantaraan pada konfigurasi pelayan anda. Jika anda menggunakan alat seperti Nginx atau Apache, ini biasanya melibatkan penggabungan sijil perantaraan dengan sijil SSL anda ke dalam satu fail.
Sebagai contoh, dalam Nginx, anda mungkin mengkonfigurasi rantaian SSL seperti ini:
ssl_certificate /path/to/your_cert_chain.pem;
ssl_certificate_key /path/to/your_private_key.pem;
Salin selepas log masuk
Pastikan your_cert_chain.pem menyertakan sijil SSL dan sijil perantaraan anda.
- Kemas kini Kedai Sijil Pelanggan
Jika masalah terletak pada kedai sijil tempatan pelanggan, mengemas kininya dengan sijil akar terkini selalunya akan menyelesaikan isu tersebut.
Penyelesaian:
• Untuk Linux, kemas kini stor sijil dengan arahan berikut:
bash
Salin kod
sudo kemas kini-ca-sijil
• Untuk macOS, anda boleh mengemas kini kedai sijil menggunakan apl Akses Rantai Kunci.
• Untuk Windows, anda mungkin perlu mengemas kini stor sijil secara manual atau menggunakan Kemas Kini Windows untuk memasang sijil akar yang hilang.
- Sahkan Konfigurasi SSL Pelayan
Adalah penting untuk memastikan bahawa konfigurasi SSL anda disediakan dengan betul pada pelayan. Menggunakan alat ujian SSL boleh membantu mendiagnosis sama ada pelayan menyediakan rangkaian sijil yang betul.
Penyelesaian:
Gunakan alatan seperti Ujian SSL Labs SSL untuk mengimbas konfigurasi SSL tapak web anda. Alat ini memberikan maklum balas terperinci tentang rangkaian sijil anda dan menyerlahkan sebarang sijil yang hilang atau salah.
- Tambah Sijil Ditandatangani Sendiri ke Kedai Amanah
Jika pelayan anda menggunakan sijil yang ditandatangani sendiri, anda perlu menambahkan sijil ini pada sijil yang dipercayai pada mesin klien.
Penyelesaian:
Tambah sijil yang ditandatangani sendiri secara manual ke kedai amanah tempatan pada sistem pelanggan. Contohnya:
• Di Linux, tambahkan sijil pada /usr/local/share/ca-certificates/ dan kemudian jalankan update-ca-certificates.
• Pada macOS, import sijil ke dalam Akses Rantai Kunci.
• Pada Windows, import sijil ke dalam stor Pihak Berkuasa Pensijilan Root Dipercayai.
- Semak Sijil Tamat Tempoh
Jika ralat disebabkan oleh sijil yang telah tamat tempoh atau dibatalkan dalam rantaian, menggantikan sijil yang telah tamat tempoh dengan yang sah akan membetulkan isu tersebut.
Penyelesaian:
Gunakan alat penyemak SSL untuk mengesahkan kesahihan sijil dalam rantaian. Jika mana-mana sijil telah tamat tempoh atau telah dibatalkan, minta sijil baharu daripada Pihak Berkuasa Sijil anda.
Mencegah Isu Sijil SSL pada Masa Hadapan
Untuk mengelakkan ralat "masalah sijil SSL: tidak dapat mendapatkan sijil pengeluar tempatan" dan isu berkaitan SSL lain pada masa hadapan, ikuti amalan terbaik ini:
- Pastikan Sijil SSL Terkini: Semak tarikh tamat tempoh sijil SSL anda secara kerap dan perbaharuinya sebelum tamat tempoh.
- Pantau Rantaian Sijil: Pastikan pelayan anda menyediakan rangkaian sijil penuh, termasuk sijil perantaraan, untuk mengelakkan isu pengesahan.
- Kemas Kini Kedai Sijil Pelanggan secara kerap: Pastikan sistem pelanggan anda dikemas kini dengan sijil akar terkini.
- Gunakan Pihak Berkuasa Sijil Dipercayai: Sentiasa dapatkan sijil SSL daripada Pihak Berkuasa Sijil yang terkenal dan dipercayai untuk memastikan keserasian dan kebolehpercayaan.
Kesimpulan
Ralat "Masalah sijil SSL: tidak dapat mendapatkan sijil pengeluar tempatan" ialah isu pengesahan SSL biasa yang berlaku apabila pelanggan tidak dapat mengesahkan rantaian amanah sijil SSL. Sama ada masalahnya disebabkan oleh kehilangan sijil perantara, kedai sijil yang sudah lapuk atau pelayan yang salah konfigurasi, penyelesaian yang digariskan dalam artikel ini boleh membantu anda menyelesaikan isu tersebut dan memulihkan komunikasi yang selamat.
Atas ialah kandungan terperinci Masalah Sijil SSL: Tidak Dapat Mendapat Sijil Pengeluar Tempatan – Punca dan Penyelesaian. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!