Windows Mobile 6.1:无法通过 https 访问内部网站

Windows Mobile 6.1:无法通过 https 访问内部网站

我们有几个运行 Windows Mobile 6.1 的 Motorola Symbols(不记得具体型号了),它们用于在现场输入数据,然后在轮班结束时,员工进来并通过利用 Web 服务的应用程序“同步”它们。我们最近更新了 SSL 证书,但从那时起我们就无法通过 https 同步它们了。

由于应用程序没有给出好的错误消息,我决定看看是否可以在 IE 中加载该页面,这会产生以下三种错误情况之一(并且似乎取决于设备):

  1. 有些手持设备只显示一个灰色框(即它们没有加载任何东西)
  2. 有些会返回一条消息说“无法找到”https://<服务器>/<dir>/<file>'请确保路径或互联网地址正确。"
  3. 最后有人说“无法显示该页面,因为无法验证该网站。”

为了更好地了解情况,我注意到:

  • 如果我将 https 更改为 http,他们总是可以加载页面
  • 如果我恢复到旧证书,它们就可以工作
  • 我们用新的 CA 续订了三个证书;如果我尝试另外两个证书中的一个,它就会起作用
    • 问题服务器在 Windows Server 2003 标准版 Service Pack 2 下运行 IIS 6
    • 工作服务器 1 在 Windows Server 2003 Standard Edition Service Pack 2 下运行 IIS 6
    • 工作服务器 2 在 Windows Server 2008 R2 Standard Service Pack 1 下运行 IIS 7
  • 有一个中级证书
    • 在两个 2003 框中(尚未检查 2008),中间证书确实出现在证书 MMC 管理单元中的证书(本地计算机)-> 中级证书颁发机构\证书
    • openssl s_client -connect <server>:<port> -CAfile root.crt 表示中间件已正确安装
    • 它似乎在其他设备上运行良好;但我只做了有限的测试
    • 在 IE 7、Firefox 4/5 下我们没有收到任何错误(在 Windows 7 下测试)
    • 在 Firefox 3.5 下我们没有收到任何错误(在最新的 Ubuntu 下测试)
    • 查看日志,我没有看到来自移动单元的任何条目(虽然这很成问题,因为服务器在今年的这个时候真的很忙,所以我可能会错过它们)
    • 在仔细检查支持的密码套件时,发现正常运行的 2003 服务器已经得到保护(它通过了 PCI 扫描),因此它支持的密码套件比不正常运行的服务器少,所以我不认为这是密码套件问题。
    • 最后,我尝试手动比较证书
    • CNAMES、序列号等明显不同
    • 在两个有效的方法中,它们有对象标识符(2 5 4 9)= 154 W 12th Avenue,而无效的方法有对象标识符(2 5 4 9)= LEAVE_THIS_FIELD_BLANK(原因是我们有一个实际提交/批准它们的中心组,并且中心组应该用正确的街道地址替换该文本。显然他们错过了。)
    • 如果您认为这是一个问题,我可以很容易地重新颁发证书;我只是不想不必要地这样做。
    • (编辑)此外,我已经以与手持设备相同的方式连接了笔记本电脑,并且可以正常连接;因此我认为这不是网络问题。

我将非常感激任何关于如何进行的建议。我认为目前我的选择是:

  1. 匹配密码套件,使它们相同(我怀疑这是否有帮助,但越相似越好)
  2. 要求重新签发带有正确地址的证书
  3. 将手持设备使用的 Web 服务移动到与其一起工作的两个服务器之一进行通信(这是不可取的,因为它们对全世界开放,而非工作的服务器仅对我们的 WAN 网络开放;它可能在短期内起作用)

答案1

重新颁发证书似乎已经解决了该问题。

我们修正了地址问题。我还生成了一个新的私钥,但我看不出这有什么关系,因为两者都应该是 2048 位。

相关内容