SSL XML網關 - SSL證書握手錯誤

Question

我正在一個網站上公開一個XML網關，客戶端可以提交一個XML請求並獲得一個XML響應作爲回報。該網站/公司已被更大的組織購買並已遷移到其基礎架構中。現有生產站點正在使用特定證書頒發機構的SSL證書，但較大的組織使用不同證書頒發機構頒發的證書。我們嘗試與其中一個客戶端進行測試，他們得到了SSL握手錯誤。最初的開發人員說，要使其發揮作用的唯一方法是恢復原始SSL證書，而不是使用新證書。我正在尋找一些指導或方向來診斷這個問題，所以任何幫助，將不勝感激。

Answer 1

開發者說什麼，從描述來看對我來說是明智的，但問題是他們的。

要驗證這正是發生的情況，您可以執行wireshark捕獲，然後將流程解碼爲SSL。如果問題在於客戶端不信任服務器發送的證書並拒絕連接，您將在wireshark的握手中看到它。

如果您使用java客戶端，您可以使用-Djavax.net.debug=ssl運行它以查看java內的ssl消息。

如果確實存在這個問題，那麼您必須配置客戶端的信任庫讓服務器（這是最初的那個）發送證書。

如果此配置是可能的，當然...這取決於應用

UPDATE：

那麼，如果你遷移到新的CA，即你在你的界面部署一個新的證書，那麼很抱歉地說，這是「你的」 - 意味着服務器端錯誤。恕我直言，如果可能的話，您應該在預先規定的期限內重新部署舊證書，與所有利益相關方溝通，您計劃遷移到由新的 CA簽署的新證書，以便客戶不會中斷

然後，他們有責任在這段時間內「修復」他們的客戶端應用程序，以便能夠接受新證書。這可以像配置一樣簡單，即將證書導入到信任庫，以至於「更復雜」，以至於更改代碼並重建客戶端應用程序（例如，如果新發布的證書沒有代碼驗證的擴展名或CN已更改等等）。

如果無法重新部署舊證書，然後，你就必須將更改傳送給所有利益相關方，然後，就應該相應地「修理」它（如上所述）