Error y solucion a: Peer's Certificate issuer is not recognized

  • 22 de noviembre de 2024

El certificado SSL está incompleto o mal configurado: Falta la cadena intermedia que conecta tu certificado al certificado raíz confiable. La CA no es confiable: Se requiere que la CA del certificado esté en su lista de autoridades confiables. El servidor no responde correctamente con la cadena completa: El servidor debe devolver la cadena completa del certificado (certificado del dominio, intermedio y raíz).

1. Verifica la configuración del certificado

Asegúrate de que tu servidor está enviando la cadena completa de certificados (dominio + intermedios).

$ openssl s_client -connect www.example.com:443 -servername www.example.com

Busca la sección Certificate chain. Deberías ver la cadena completa, incluyendo los certificados intermedios.

2. Reinstala el certificado con la cadena intermedia

Si faltan certificados intermedios, verifica las instrucciones de tu proveedor de SSL para descargar la cadena intermedia y vuelve a instalar el certificado en tu servidor web. En Nginx, por ejemplo, el archivo de certificados debe incluir tanto el certificado del dominio como los intermedios:

ssl_certificate /path/to/fullchain.pem; # Incluye los certificados intermedios
ssl_certificate_key /path/to/privkey.pem;

3. Reinicia tu servidor web

Después de corregir la configuración, reinicia Nginx o Apache para que cargue el nuevo certificado:

$ sudo systemctl restart nginx
# o
$ sudo systemctl restart apache2

Generar el certificado fullchain.pem

Puedes generar el archivo fullchain.pem combinando correctamente los certificados que te proporciona, por ejemplo GoDaddy. El archivo fullchain.pem debe contener el certificado del dominio seguido de los certificados intermedios en orden correcto. A continuación, te explico cómo hacerlo:

1. Identificar los archivos

Los archivos proporcionados por GoDaddy suelen ser:

6c544862835f1eba.crt: El certificado del dominio.gd_bundle-g2-g1.pem: La cadena de certificados intermedios.6c544862835f1eba.pem: Normalmente es una copia del certificado del dominio en formato .pem. Puede que no lo necesites si ya tienes el .crt.

2. Combinar los certificados

Crea el archivo `fullchain.pem combinando el contenido del certificado del dominio y la cadena de certificados intermedios.

$ cat 6c544862835f1eba.crt gd_bundle-g2-g1.pem > fullchain.pem

3. Verificar el contenido

Esto concatena ambos archivos en el orden correcto: primero el certificado del dominio y luego los certificados intermedios.

$ cat fullchain.pem

Debe verse algo como esto:

-----BEGIN CERTIFICATE-----
(certificado del dominio)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(certificado intermedio 1)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(certificado intermedio 2)
-----END CERTIFICATE-----
``

## 4. Probar el certificado en el servidor

ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/privkey.pem; # Tu clave privada


## 5. Verificar la configuración

$ openssl s_client -connect www.example.com:443 -servername www.example.com

Deja tu comentario

Presiona ESC para cerrar