我正在开发一个公开xml网关的网站,客户端可以提交xml请求并获得xml响应。该网站/公司已被更大的组织购买,并已迁移到其基础架构中。现有生产站点使用特定证书颁发机构的ssl证书,但较大的组织使用由不同证书颁发机构颁发的证书。我们尝试与他们的一个客户端进行测试,他们遇到了SSL握手错误。最初的开发人员说,让它工作的唯一方法是恢复原始SSL证书而不是使用新证书。我正在寻找一些指导或方向来诊断这个问题,所以任何帮助都将不胜感激。
答案 0 :(得分:2)
开发人员说,根据描述对我来说是明智的,但问题在于他们。
要验证这是发生了什么,您可以执行wireshark捕获,然后将流解码为SSL。如果问题是客户端不信任服务器发送的证书并拒绝连接,您将在wireshark的握手中看到它。
如果您使用java客户端,则可以使用-Djavax.net.debug=ssl运行它以查看java中的ssl消息。
如果这确实是问题,那么您必须配置客户端的信任库以使服务器(原始服务器)发送证书。
如果这种配置当然可行......这取决于应用程序
更新:
如果您迁移到新的CA,即在界面中部署新证书,那么很遗憾地说,这是“你的” - 意味着服务器端错误。
恕我直言,如果可能的话,您应该在预定的时间段内重新部署旧证书,与您计划迁移到由新 CA签署的新证书的所有利益相关方进行沟通,以便客户不要不要打破
然后,在此期间,他们有责任“修复”他们的客户端应用程序,以便能够接受新证书。这可以像配置一样简单,即将证书导入信任库,“更复杂”以更改代码和重建客户端应用程序(例如,如果新颁发的证书没有代码正在验证的扩展或CN已更改等等)。
如果无法重新部署旧证书,则只需将更改传达给所有利益相关者,然后他们应相应地“修复”(如上所述)