我们的应用程序中的证书已过期,我们已续订该证书。在使用新指纹更新配置文件后,有一项服务出现故障,并且根据事件查看器,无法找到续订的证书。
与旧证书进行比较后,我们发现主题名称不匹配。对于旧证书来说,
CN = xxx.xxx.xxx
单位 = xx.xx.xx
○ = xx.xx.xx
L = xx.xx.xx
小数点 = xx
C = XX
新的证书是这样的
CN = xxx.xxx.xxx
两种情况下的 CN 值相同。只是新版本缺少 OU、O、L、S 和 C 等其他详细信息。服务检查证书时这些内容重要吗?
答案1
如果您的应用程序表现得像浏览器,或者使用标准 SSL 库,它只关心与所需主机名匹配的 CN(或 SubjectAltName)。
如果您的应用可公开访问,请尝试将 ssllabs.com 的 SSL 检查器指向它。一个常见问题是缺少/不正确的中间证书,这可能会破坏某些客户端。
您的故障客户端也可能不信任用于更新服务器证书的根证书。