El certificado SSL está incompleto o mal configurado: Falta la cadena intermedia que conecta tu certificado al certificado raíz confiable. La CA no es confiable: Se requiere que la CA del certificado esté en su lista de autoridades confiables. El servidor no responde correctamente con la cadena completa: El servidor debe devolver la cadena completa del certificado (certificado del dominio, intermedio y raíz).
1. Verifica la configuración del certificado
Asegúrate de que tu servidor está enviando la cadena completa de certificados (dominio + intermedios).
$ openssl s_client -connect www.example.com:443 -servername www.example.com
Busca la sección Certificate chain. Deberías ver la cadena completa, incluyendo los certificados intermedios.
2. Reinstala el certificado con la cadena intermedia
Si faltan certificados intermedios, verifica las instrucciones de tu proveedor de SSL para descargar la cadena intermedia y vuelve a instalar el certificado en tu servidor web. En Nginx, por ejemplo, el archivo de certificados debe incluir tanto el certificado del dominio como los intermedios:
ssl_certificate /path/to/fullchain.pem; # Incluye los certificados intermedios
ssl_certificate_key /path/to/privkey.pem;
3. Reinicia tu servidor web
Después de corregir la configuración, reinicia Nginx o Apache para que cargue el nuevo certificado:
$ sudo systemctl restart nginx
# o
$ sudo systemctl restart apache2
Generar el certificado fullchain.pem
Puedes generar el archivo fullchain.pem combinando correctamente los certificados que te proporciona, por ejemplo GoDaddy. El archivo fullchain.pem debe contener el certificado del dominio seguido de los certificados intermedios en orden correcto. A continuación, te explico cómo hacerlo:
1. Identificar los archivos
Los archivos proporcionados por GoDaddy suelen ser:
6c544862835f1eba.crt: El certificado del dominio.gd_bundle-g2-g1.pem: La cadena de certificados intermedios.6c544862835f1eba.pem: Normalmente es una copia del certificado del dominio en formato .pem. Puede que no lo necesites si ya tienes el .crt
.
2. Combinar los certificados
Crea el archivo `fullchain.pem combinando el contenido del certificado del dominio y la cadena de certificados intermedios.
$ cat 6c544862835f1eba.crt gd_bundle-g2-g1.pem > fullchain.pem
3. Verificar el contenido
Esto concatena ambos archivos en el orden correcto: primero el certificado del dominio y luego los certificados intermedios.
$ cat fullchain.pem
Debe verse algo como esto:
-----BEGIN CERTIFICATE-----
(certificado del dominio)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(certificado intermedio 1)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(certificado intermedio 2)
-----END CERTIFICATE-----
``
## 4. Probar el certificado en el servidor
ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/privkey.pem; # Tu clave privada
## 5. Verificar la configuración
$ openssl s_client -connect www.example.com:443 -servername www.example.com