Plesk - CA Certificate Chain niet vertrouwd in Nginx

Dit artikel geldt voor Parallels Plesk Panel 11.x onder Linux.

Symptomen

SSL certificaten voor bepaalde domeinen worden niet meer vertrouwd. In Plesk geïnstalleerde SSL certificaten, die gebruikmaken van intermediate en rootcertificaten, worden niet goed geladen. Ook kan het zo zijn dat het standaard certificaat van Parallels Plesk wordt getoond. De enige manier om dit op te lossen is door terug te schakelen naar Apache met het commando:

/usr/local/psa/admin/bin/nginxmng - disable

Oorzaak

Apache heeft een parameter genaamd "SSLVerifyDepth" met een standaard waarde van (10), wat betekent dat het zal kijken naar tien (10) CA (Chain) certificaten. Nginx heeft een soortgelijke parameter, te weten "ssl_verify_depth", maar met een standaardwaarde van (1). Omdat Nginx de front-end web-server is en deze is ingesteld op (1), kijkt het niet naar extra CA-certificaten, waardoor een conflict met sommige browsers ontstaat.

Oplossing

Het probleem is opgelost sinds versie 11 MU#10, echter kan het nog steeds invloed hebben op certificaten die voor de installatie van deze update zijn gegenereerd. Om dergelijke certificaten te herstellen kunt u het onderstaande commando uitvoeren:

  1. wget http://kb.parallels.com/Attachments/22393/Attachments/reload_ssl_certificate.zip
  2. unzip reload_ssl_certificate.zip
  3. php reload_ssl_certificate.php

Het commando download een gecomprimeerd PHP script, u kunt deze uitpakken en activeren. Het zip bestand is ook hier te downloaden.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.