IE 开始出现奇怪的行为。我们有几个配置为使用 HTTPS 进行访问的内联网节点(路由器),但这些节点上有不受信任/自签名的证书。在最近某个无法识别的时间点,连接到这些设备没有任何问题。现在情况已经不同了。当您尝试连接并选择选项 3(“无论如何都要连接到该站点”)时,IE 会立即返回“连接不可用”屏幕。这种情况发生在 IE8 中,现在(呃)发生在 ie9 中。
Firefox 连接这些位置没有问题,这表明这不是 TCP 堆栈问题。Google Chrome 连接失败;但 Google Chrome 在很多方面都失败了。
我们尝试将它们添加为受信任的站点。没有区别。
显然存在一些模糊的设置,或者 MS 发布了破坏问题的补丁。有什么想法吗?
答案1
此问题是由最近的 MS 更新引起的:kb2585542
有一个与 ms12-006 相关的修复程序,可让您关闭部分更新。问题描述如下http://support.microsoft.com/kb/2643584
具体来说,需要应用 Microsoft Fix it 50824。然后您需要更新 ie 以仅使用 ssl3 和 tls1.2,对于我们的系统,这解决了该问题
答案2
检查浏览器中的证书部分。如果有来自这些设备的证书,请删除它们,清除浏览器的缓存并重新启动浏览器。
我的 HP ILO 有时会使用自签名证书执行此操作。一旦您接受证书,它就会安装它,但下次您连接时,它会因为某种原因而变得混乱。至少 FF 和 IE 曾经会感到困惑。
答案3
如果您拥有多个这样的服务器,那么可能需要设立一个内部认证机构:
- 创建一个小型CA,特别是你自己的CA证书+它的私钥。
- 使用此 CA 为您的每个内部服务器颁发证书(并在该服务器内进行设置)。
- 将 CA 证书作为受信任的证书导入到您的内联网机器上。
这样,您就不必每次在内部网上添加新服务器时处理异常。如果您是新手,这可能会有点麻烦,但这是干净的做法。
有一些工具可以帮助你设置 CA。根据规模,例如微型加州可能就足够了。你可以在这个问题的答案中找到其他建议:https://security.stackexchange.com/q/7030/2435
确保您颁发的证书中的主机名位于主题备用名称 DNS 条目中,并且(以防万一)位于主题可分辨名称的 CN RDN 中。