IIS7 使用旧的 SSL 来连接外部客户端(LAN/VPN 客户端没问题)

IIS7 使用旧的 SSL 来连接外部客户端(LAN/VPN 客户端没问题)

我有一台 Windows 2008 R2 终端服务器。当通过 Web 访问时(例如https://ts.domain.com/RDWeb) 我收到一条消息,提示 SSL 证书已被撤销。它似乎正在颁发旧的 SSL 证书,该证书后来已使用附加备用名称 (SAN) 进行了更新。

但是,当我从 LAN 或 VPN 访问相同的 URL 时,RDWeb 页面会正确显示,没有撤销错误。当我在 Web 浏览器中检查 SSL 证书时,LAN/VPN 客户端会显示更新证书的序列号。外部客户端的 Web 浏览器将显示我认为是旧证书的序列号。

处理外部客户端的防火墙是 Cisco ASA 5510,据我所知,它不需要使用 SSL 证书进行更新(与 ISA 等某些防火墙相比)。

当我运行此命令时:

certutil -store MY

它仅显示具有当前序列号的 SSL 证书(颁发给 LAN/VPN 客户端的序列号),并且找不到颁发给外部客户端的序列号。

还值得注意的是,我重用了 Exchange 服务器的 SSL 证书,为终端服务器添加了 SAN,从 Exchange 服务器导出证书并将其导入到终端服务器。它在我最初的测试中运行正常,但现在我看到了这个问题,我想知道它是否只需要自己的 SSL 证书。

编辑:通过 VPN,Chrome 会显示撤销错误,但 IE 和 Firefox 可以正常打开。Chrome 在 LAN 上运行良好。

答案1

问题与从未删除的旧公共 DNS 记录有关,因此外部用户会随机获取正确/错误的公共 IP 地址。

相关内容