Certifikatkæde fejlsøgning

Hvad er en certifikatkæde?

En SSL-certifikatkæde (certificate chain) er den sti browseren følger fra dit servercertifikat op til en betroet root CA:

1. Servercertifikatet (dit domæne, f.eks. www.eksempel.dk)
2. Intermediate-certifikat(er) (udstedt af root CA, udsteder dit certifikat)
3. Root CA-certifikat (forudinstalleret i browsere og operativsystemer)

Hvis et mellemled mangler, kan browseren ikke verificere kæden og viser en "untrusted certificate" fejl.

Typiske symptomer

• "Your connection is not private" / "NET::ERR_CERT_AUTHORITY_INVALID" (Chrome)
• "Warning: Potential Security Risk Ahead" (Firefox)
• Certifikatet virker i nogle browsere men ikke andre
• Mobilenheder viser fejl, mens desktop fungerer (desktop kan cache intermediate-certifikater)
• SSL-scanner viser "Incomplete chain" eller "Missing intermediate"

Trin 1: Diagnosticer med online tools

Brug FairSSLs SSL-scanner eller andre online-værktøjer til at verificere kæden:

• FairSSL SSL Scanner - viser hele certifikatkæden og eventuelle fejl
• openssl s_client fra kommandolinjen (se nedenfor)

Trin 2: Verificer med OpenSSL

openssl s_client -connect dit-domaene.dk:443 -servername dit-domaene.dk

Kig efter:

• Verify return code: 0 (ok) = kæden er komplet
• Verify return code: 21 (unable to verify the first certificate) = intermediate mangler
• depth=0 linjen viser dit certifikat, depth=1 viser intermediate

Vis kun certifikatkæden:

openssl s_client -connect dit-domaene.dk:443 -servername dit-domaene.dk -showcerts 2>/dev/null | openssl x509 -noout -subject -issuer

Trin 3: Find det manglende intermediate-certifikat

Intermediate-certifikater leveres typisk af din CA sammen med servercertifikatet. Hvis du har mistet det:

1. Tjek e-mailen fra certifikatudstederen for en "CA Bundle" eller "Intermediate Certificate" fil.
2. Download fra CA'ens support-side:
   • GlobalSign: support.globalsign.com
   • DigiCert: digicert.com/kb
   • Sectigo: support.sectigo.com
3. Brug openssl x509 -in dit-certifikat.crt -noout -issuer til at finde ud af hvem der udstedte dit certifikat, og hent derefter det korrekte intermediate.

Trin 4: Installer intermediate-certifikatet

Apache / Nginx (Linux)

Sammensæt certifikaterne i den rigtige rækkefølge i en enkelt fil:

cat dit-certifikat.crt intermediate.crt > fullchain.crt

I Apache brug SSLCertificateChainFile eller inkluder hele kæden i SSLCertificateFile. I Nginx brug den sammensatte fil som ssl_certificate.

IIS / Windows

1. Åbn certlm.msc (eller MMC med Certificates snap-in).
2. Naviger til Intermediate Certification Authorities → Certificates.
3. Højreklik → All Tasks → Import og vælg intermediate-filen.

Trin 5: Verificer reparationen

openssl s_client -connect dit-domaene.dk:443 -servername dit-domaene.dk 2>/dev/null | grep "Verify return code"

Du bør nu se Verify return code: 0 (ok). Test også fra en mobilenhed og i inkognito-tilstand for at undgå cached certifikater.

Forebyggelse

• Installer altid intermediate-certifikater ved opsætning af et nyt certifikat.
• Test med FairSSLs SSL Scanner efter installation.
• Automatiser med ACME-klienter (Certbot, acme.sh) der håndterer kæden automatisk.
• Brug fullchain.pem (ikke bare cert.pem) når du konfigurerer webservere.