GlobalSign Blog

Veel voorkomende foutmeldingen bij SSL-certificaten

Veel voorkomende foutmeldingen bij SSL-certificaten

Soms ondervinden zelfs de meest bekwame webmasters problemen met SSL/TLS-certificaten. Het juiste certificaat bestellen, een CSR aanmaken, een certificaat downloaden, installeren en testen om zeker te zijn dat er zich geen problemen voordoen op alle vlakken waar een webmaster problemen kan ondervinden.

We willen jullie helpen om het proces zo eenvoudig mogelijk te maken, van begin tot einde. Daarom hebben we de 10 meest gestelde vragen en meest voorkomende problemen verzameld waarmee onze klanten geconfronteerd worden tijdens het bestel- en installatieproces. We hopen dat deze blog jullie kan helpen om deze valkuilen te vermijden en het proces sneller te voltooien. Moest je echter een probleem hebben dat je met behulp van deze blog niet kan oplossen, neem gerust contact op met ons supportteam of maak een supportticket aan.

De juiste approval- of goedkeuringsmethode kiezen

Er zijn drie manieren waarop je een domein door ons kunt laten verifiëren, hiervoor moet je zogenaamd een 'approval" te geven : approval-e-mail, approval-URL en DNS TXT-records.

Opmerking: zodra je een bestelling voor een SSL-certificaat geplaatst hebt in ons systeem, kan de gekozen approvalmethode achteraf niet meer worden gewijzigd.

Approval e-mail

Wanneer je een bestelling plaatst, kan je uit de volgende e-mailadressen kiezen om het domein te laten verifiëren:

  • admin@domain.com
  • administrator@domain.com
  • hostmaster@domain.com
  • postmaster@domain.com
  • webmaster@domain.com

Er wordt een e-mail verzonden naar dit adres en in het ontvangen bericht klik je simpelweg op de link om te verifiëren dat het domein van jou is.

Opmerking: zorg ervoor dat je het juiste adres kiest, want anders moet je de bestelling annuleren en een nieuwe bestelling starten.

Als je geen e-mailadres uit de bovenstaande lijst kunt instellen, moet je contact opnemen met support om de andere mogelijkheden te bespreken. Deze zijn:

  • De WHOIS-gegevens updaten met een e-mailadres (een voorbeeld van een website die GlobalSign gebruikt om WHOIS-gegevens te controleren, is networksolutions.com).
  • Een pagina op de website van het domein aanmaken volgens de instructies van ons supportteam. Zo toon je controle over het domein aan en kan het validatieteam de approval-e-mail naar ELK alternatief e-mailadres te sturen.

Approval-URL      

Bij de methode met approval-URL kan je een metatag invoegen op de hoofdpagina van een domein. Ons verificatiesysteem kan de metatag op de pagina detecteren en het eigenaarschap van het domein verifiëren.

Opmerking: de metatag moet op de hoofdpagina van het domein worden ingevoegd. Ons systeem kan het domein niet verifiëren als deze omleidt naar een andere pagina.

DNS TXT-records betekent een code implementeren in de DNS TXT van de website. Gebruik deze link om te controleren of een domein een DNS TXT-record bevat. Je kan ook een opdracht uitvoeren in de opdrachtprompt om na te gaan of er een txt-invoer is: nslookup -type=txt www.domain.com.

Private key ontbreekt

Een private key en CSR moeten altijd op dezelfde server worden gegenereerd waarop je het certificaat installeert om het certificaat correct te kunnen installeren. Als de private key niet meer op de server is opgeslagen (verloren), moet het certificaat opnieuw worden uitgegeven met een nieuwe CSR.

Voorbeelden van foutmeldingen/situaties waarin geen private key aanwezig is:

  • De foutmelding "Private key missing" verschijnt tijdens de installatie.
  • De foutmelding "Bad tag value" verschijnt tijdens de installatie.
  • Nadat u het certificaat in IIS hebt geïmporteerd, verdwijnt het certificaat uit de lijst na het vernieuwen.
  • Wanneer je naar de website gaat, wordt de site niet geladen in https://

SAN-compatibiliteit

Bij een Subject Alternative Name of SAN-certificaat moet je met een aantal dingen rekening houden voordat je een bestelling plaatst.

  • Domain Validated (DV) SSL-certificaten beveiligen enkel subdomeinen en niet de Common Name.
  • Organization Validated (OV) en Extended Validation (EV) SSL-certificaten beveiligen meerdere domeinnamen (FQDN's).
  • Eén certificaat kan tot 100 SAN's tegelijk beveiligen; meer SAN's kunnen na de uitgifte worden toegevoegd.
  • Wildcard SSL-certificaten kunnen onbeperkte subdomeinen beveiligen, aangeduid met een asterisk.

Verdere informatie over SAN-compatibiliteit kan je in de onderstaande afbeelding vinden.

SAN Compatability

 

Als je een SAN wil verwijderen na de uitgifte van een certificaat, volg je de stappen in de link.

Ongeldige CSR

Als je een CSR voor de verlenging van een certificaat aanmaakt, moet je ervoor zorgen dat deze dezelfde informatie bevat als de originele CSR. De nieuwe CSR ziet er niet exact hetzelfde uit omdat de private key verschilt.

Nog een mogelijke reden waarom het verlengingsproces niet correct verloopt, is wanneer je een CSR-functie creëert op de IIS7-server. Er bestaat een gekende bug die de CSR te lang maakt. De beste manier om dit te voorkomen, is een nieuwe certificaataanvraag maken in plaats van een verlengingsaanvraag.

Je kan een CSR testen met behulp van een decoder van een van de onderstaande websites. Als er extra spaties of te veel of te weinig streepjes aan het begin of einde van de certificaataanvraag staan, is de CSR ongeldig.

-----BEGIN CERTIFICAATAANVRAAG-----

-----EINDE CERTIFICAATAANVRAAG-----

The common name you have entered does not match the base option

Deze fout doet zich voor wanneer je een Wildcard SSL-certificaat bestelt, maar de asterisk niet hebt vermeld in de Common Name, bv. *.domain.com. Of als je *.domain.com hebt ingevoerd en niet hebt opgegeven dat het certificaat een Wildcard-certificaat is.

De [*] staat voor alle subdomeinen die je met dit type certificaat kunt beveiligen. Als je bijvoorbeeld www.domain.com, mail.domain.com en secure.domain.com wilt beveiligen, moet je *.domain.com invoeren als Common Name in de CSR.

Opmerking: je kan geen Wildcard aanmaken met een subdomein vóór de asterisk, bv. mail.*.domain.com of dubbele wildcards, zoals *.*.domain.com.

Key duplicate error

Deze foutmelding verschijnt als je een private key gebruikt die al in gebruik is. Een private key en CSR mogen slechts EENMAAL worden gebruikt.

Je moet een nieuwe private key en CSR genereren op hun server en de nieuwe CSR opnieuw verzenden.

Order state has already been changed

Order state has already been changed SSL

Deze foutmelding verschijnt meestal wanneer de bestelling vervallen is. Je moet het bestelproces opnieuw beginnen en contact met ons opnemen als het probleem zich blijft voordoen. In dat geval moeten we het account verder controleren.

OPMERKING: deze foutmelding kan ook worden veroorzaakt door verkeerd opgegeven (ingevoerde) SAN's. Als de CN bijvoorbeeld "www.domain.com" is en je het subdomein "domain.domain2.com" hebt opgegeven, dat in feite de FQDN aanduidt.

The SANs options you have entered do not match the SAN options on the original certificate

Dit probleem kan een aantal mogelijke oorzaken hebben:

  • Je hebt een spatie toegevoegd aan het einde van de SAN, waardoor ons systeem deze weigert.
  • De ingevoerde informatie bevat een tikfout.
  • Je voerde de Common Name (CN) van het certificaat in als SAN, waardoor het systeem niet weet of deze al wordt beveiligd door het certificaat.
  • Je hebt de SAN verkeerdelijk ingevoerd als subdomein, naam van meerdere domeinen, interne SAN of IP. Je moet het juiste type SAN kiezen.

Certificaat niet vertrouwd in webbrowser

Nadat je het certificaat hebt geïnstalleerd, kan je nog steeds foutmeldingen krijgen in bepaalde browsers. Dit gebeurt wanneer het tussenliggende certificaat niet is geïnstalleerd.

Je kunt dit controleren door een health check uit te voeren.

Als het tussenliggende certificaat ontbreekt, gebruik je de volgende link om te bepalen welk tussenliggend certificaat vereist is op basis van het producttype (DomainSSL, OrganisationSSL, ExtendedSSL, AlphaSSL enz.).

Verdere informatie over tussenliggende certificaten en waarom we deze gebruiken, kan je in dit artikel vinden.

Foutmelding "Switch From Competitor"

Wanneer je de optie "Switch From Competitor" kiest in het bestelsysteem, kan de volgende foutmelding verschijnen:

The server hosting your existing certificate cannot be reached to confirm its validity. Please obtain a copy of your existing certificate and paste it in the box below. All competitive switches are subject to review by GlobalSign's vetting team against the trusted issuers in the browser trust stores. If your certificate is not issued by a valid root CA Certificate, it will be subject to cancellation and/or revocation.

Deze foutmelding verschijnt als het huidige certificaat niet meer geldig is. Je mag deze optie alleen kiezen als je overschakelt voordat het certificaat bij een ander bedrijf verloopt.

Deze foutmelding kan zich ook voordoen als het huidige certificaat niet is geïnstalleerd op het domein. Ons systeem kan in dat geval de geldigheid niet controleren. Je moet deze optie dan uit te schakelen en het normale bestelproces te volgen.

Als je een geldig certificaat van een concurrent hebt dat niet is geïnstalleerd op de server, kan je de CSR in het tekstvak plakken met behulp van de optie "Switch From Competitor". Zie de onderstaande afbeelding.

 Switch from competitor

Ten slotte kan deze foutmelding worden weergegeven als je een certificaat op de server hebt geïnstalleerd, maar de CN-naam niet overeenkomt met de domeinnaam. Dat kan bijvoorbeeld gebeuren bij een SAN-certificaat. In dat geval schakelt je de optie "Switch From Competitor" uit en volg je het normale bestelproces.

Meer antwoorden op algemene vragen over SSL-certificaten kan je op de algemene SSL-pagina op onze supportsite vinden.

Share this Post