我遇到了一个奇怪的问题。我们刚刚上线了启用 SSL 的站点。但是当我访问该站点时,出现了“SEC_ERROR_UNKNOWN_ISSUER”错误。当我查看证书详细信息或 sslshopper.com 上的 SSL 检查器时,它显示了一组奇怪的 CSR 信息:
但是,当我在服务器上的 CSR 文件上运行 CSR 解码器时,它显示了正确的通用名称和组织信息,这与网站证书详细信息中显示的信息不同(在上面的屏幕截图中):
我还运行了证书密钥匹配器(https://www.sslshopper.com/certificate-key-matcher.html) 使用服务器上的 crt、key 和 csr 文件,证书与服务器上的私钥匹配,并且证书也与 csr 匹配。
所以我很困惑为什么该网站返回不同的证书内容(通用名称等)并给出错误。
答案1
SSL 检查器的屏幕截图显示该站点的 IP 地址为 162.209.88.109(即托管在 Rackspace),证书颁发者为“helotes” - 这表明这里使用了一些自颁发的证书。
但是,当前 DNS 查找显示 IP 地址为 50.56.149.253(托管在 Liquidweb),并且SSLLabs 分析显示为该站点正确设置的公共信任证书。
我猜想不仅创建了新证书,而且网站还被转移到了其他提供商。但是,DNS 设置上的更改不会立即反映出来(可能需要数小时甚至一天,具体取决于 DNS 记录的设置),这意味着 SSL 检查器仍然显示旧设置。