我有一个 Azure B2C 租户,它使用自定义策略连接到我们自己的 API。该策略当前配置了一个 *.something.dev 证书,每 3 个月到期一次。计划是用 CA 颁发的证书替换当前证书,这样我们就不必每年更换证书 4 次,而只需更换一次。
但是,上传 Comodo CA 证书后我们收到的错误是
Microsoft.Cpim.Common.PolicyException。
我们可以在 Azure 中设置 CA 或限制吗?这样会导致这些问题吗?我不记得在 Azure 中进行过任何与 CA 相关的设置。
如果我们用 Let's Encrypt 证书替换 Comodo CA,服务就会恢复正常。我们这边的代码允许使用两个证书的指纹,因此这不是问题的原因。
我到目前为止已经尝试过:
- 替换 web 服务上的 URL(从 something.test.dev 移至 someotherdomain.com)。
- 将 2048 个证书替换为 4096 个,反之亦然。
- 创建新政策(B2C_1A_EnrichmentApiClientCertificate)
- 创建了一个新的 b2c 租户并重新进行所有设置。
- 如果我将我们自己的 API 离线设置,我会收到此错误:
Microsoft.Cpim.Common.Web.ConnectionException所以我 100% 确定我们正在调用这个精确的 API。 - 删除了所有 CAA 记录,看看是否与此有关
答案1
这个问题的答案在于证书链。
链配置错误,并且我们在服务器的根存储中放置了非根证书,这导致了问题。
删除错误的证书可以为我们解决这个问题。
我们如何解决这个问题:
- 将正在运行的计算机/服务器 mmc.exe 与非运行环境进行比较,并删除不匹配的证书。