獲取此錯誤：SSL3_GET_SERVER_CERTIFICATE證書驗證失敗

Question

我們在Windows 2003 Server上安裝了IBM Sterling Connect Direct 4.2，一切工作正常，即使是SSL配置，我們也能正常交換文件。現在，我已將所有配置遷移到Windows Server 2008羣集環境。一切都可以......我已經配置了IBM Sterling Connect Direct 4.6.0.1 - 即使是SSL配置，我們也只是複製/粘貼了證書，keycerts和可信文件。一切都很好，我們可以在SSL會話下接收文件。但是......有一種情況例外。我們所面臨的問題是，當我們試圖將文件發送到我們的合作伙伴，我們得到這個錯誤：

Message ID: CSPA311E 
SSL Certificate verification failed, reason= self certificate in certificate chain: 

跟此錯誤：

Message ID: CSPA309E 
SSL3_GET_SERVER_CERTIFICATE certificate verify failed: 

我們正在使用完全相同的配置，除了IP和服務器名稱已更改。任何方式的證書都鏈接到服務器名稱或IP？

對此問題的任何提示都非常感謝。

Answer 1

針對特定域名或IP地址頒發證書。我很確定這是你錯誤的原因。您可以使用隨JRE或JDK安裝附帶的keytool.exe進行檢查，位於/bin目錄中。所以發出從以下命令行：

keytool.exe -printcert -file C:\path\to\your\file.crt 

這將給像輸出：

在第二行，那裏你可以看到：Owner: CN=localhost, ...這意味着，此證書在本地主機發出。

如果此CN條目與新的IP地址或域名不同，則有兩種可能性。

1. 打包爲該特定IP或域頒發的新證書。您可以再次使用java keytool.exe。
2. 您需要更新檢查證書有效性的客戶端應用程序。因此，您需要告訴客戶端不要根據真實IP地址或遠程服務器的域名檢查證書CN名稱。 （不建議，因爲安全原因。）