我们的一位用户在连接我们的一台服务器时遇到了问题。
我们有一个通配符证书:*.ourdomain.com
用户可以访问 d.ourdomain.com,浏览器中不会出现证书错误。但如果他们访问 i.ourdomain.com(特定服务器),则会收到证书错误,提示根 CA 无效。但该证书与其他地址相同,错误中显示的颁发者在其系统中被列为受信任的 CA?
关于应该看什么或我可以尝试提供哪些更多信息来帮助解决这个问题,有什么想法吗?
这是低优先级,因为只有一个用户遇到此问题,但仍然希望为该用户解决这个问题,以让我们所有的用户满意。
答案1
也许用户缓存了旧版本的证书并且看不到当前副本?
例如在 IE6/7 中他们可以
- 在 Internet Explorer 中的“工具”菜单上,单击“Internet 选项”,然后单击“安全”选项卡。
- 单击内容选项卡。
- 在“证书”部分中,单击“清除 SSL 状态”,然后单击“确定”。
- 打开证书区域并删除与 i.ourdomain.com 相关的所有证书
然后尝试再次访问该网站。
如果他们确认使用的是 IE6,请他们升级到 IE7(前提是您没有仅需要 IE 6 的遗留代码问题)。如果您确实强制使用 IE6,只需将他们发送到http://support.microsoft.com/kb/870700如果上述简短版本不起作用,就让他们全部完成。
如果 IE 有问题,您还可以建议他们下载 Firefox 并查看其运行情况。
答案2
有问题的服务器是否安装了用于签署通配符证书的根证书?或者在根证书和通配符证书之间是否有任何中间证书?我以前用这种方法破坏过一个网站。
尝试从运行正常的服务器之一导出链中的所有证书,然后将它们导入运行异常的服务器上的相应证书存储中。
答案3
理论是这样的:遇到问题的用户使用的浏览器没有证书 CA 的签名链,和服务器i.ourdomain.com未提供中间证书。因此,修复用户或服务器即可解决问题。
答案4
您很可能没有该特定服务器上所需的链证书。您可以在此处验证:http://www.sslshopper.com/ssl-checker.html
您只需要安装 SSL 提供商提供的主证书附带的中间/链证书即可消除错误。