Juniper SSG5 DDNS https 套接字创建失败

我有一个 Juniper SSG5 防火墙，版本：6.3.0r19.0，它使用动态 IP。我们正在使用 dyndns 的 DDNS 服务。该服务由 SSG 设备支持。

仅使用 http 时没有出现任何问题。我的问题出现在更改为 https 时。

使用 http 时，我从 dyndns 获得“good”和“nochg”回复。使用 https 时，它只回复“no-init”。

更多详细信息请见下文，我对如何实现这一点还没有什么新想法。我对证书和 CA 的了解并不广泛。

我一直使用这篇知识库文章作为配置的基础：

Juniper KB，在 screenOS 设备上配置 DDNS， http://kb.juniper.net/InfoCenter/index?page=content&id=KB4582

注意：此处提到的 Geotrust 证书自此不再有效。正如此处所述， http://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/DynDNS-Certificate-Provider-Changed-ScreenOS-DDNS-Client-Broken/td-p/143914

自 2012 年 5 月 22 日起，该证书已更改为 DigiCert 证书。我已使用 FF 查找并导出证书，然后将其导入 SSG 设备。members.dyndns.org/ 上使用的 digicerts 是我所能理解的，如果我错了，请纠正我，

DigiCert Global Root CA, with serial number:[08:3B:E0:56:90:42:46:B1:A1:75:6A:C9:59:91:C7:4A]

和

DigiCert SHA2 Secure Server CA with serial number: [01:FD:A3:EB:6E:CA:75:C8:88:43:8B:72:4B:CF:BC:91]

我甚至尝试从 digicert 主页下载它们并安装我在那里下载的证书，然后使用序列号查看证书是否相同。

也许值得注意的是，安装时，两个 ca-certs 都名为“DigiCert Global Root CA”，但序列号和到期日期与通过单击 FF 中的 URL 挂锁从页面获取的信息相匹配。使用时

openssl x509 -in DigiCertGlobalRootCA -text -noout

看起来这两个证书都有 CN="DigiCert Global Root CA"。

我尝试先安装根 CA，然后按相反顺序安装中间 CA，只安装根 CA，只安装中间 CA。从 DigiCert 下载证书和 FF 证书。在 FF 中，我尝试过使用和不使用证书链。我甚至尝试添加我在 FF 中找到的所有 DigiCert。

无论我做出上述努力，我仍然得到：

DDNS: Triggering update for 1
ddns: server members.dyndns.org resolved to 204.13.248.111
DDNS: connect error
socket creation failed
ddns: update failed, fail cnt 4, retry after 60 min

使用 Dyndns 的这个示例，从这里开始，[抱歉没有更多 URL 的代表]：help.dyn.com/remote-access-api/perform-update/

使用这个我可以使用 FF 的 https 更新 ip。

用户名：[电子邮件保护]/nic/update?hostname=你的主机名&myip=ip地址&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG

我还找到了这篇 Juniper KB 文章并在那里测试了命令，

将中级 CA 证书加载到 Netscreen 防火墙

kb.juniper.net/InfoCenter/index?page=content&id=KB6779&actp=search&viewlocale=en_US&searchid=1237138980966

set pki x509 def cert-path full [Enter]
save [Enter]

但我能看到的唯一变化是，如果我安装中级证书，则在安装中级证书时会同时安装中级证书和根证书，但这对我的问题没有帮助。

我在某处发现，禁用 DNS 上的 alg 可能会有所帮助。我试过了，但我看不出有什么区别。

注意，ntp 和 dns 已启用并正常工作。加载假定的正确证书后已进行重置。