我有一個p12文件。這是由DigiCert p7b生成的。相同的p12證書,不同的機器上不同的信任鏈,爲什麼?
當我在一臺機器(Windows服務器上,使用證書mmc)中將其導入到我的個人存儲中時,當我查看路徑時,它會顯示一條鏈。
使用相同的文件,我導入到我的個人商店不同的機器(也是Windows,使用certs mmc)。在這一個我看到不同的路徑(在這種情況下,它有一個過期的跳躍)
具體來說,我的證書上方兩跳發生分歧。
爲什麼會發生這種情況?我能做些什麼來影響這條鏈(請記住它與創建不同路徑的p12相同)?
我也應該說,我不是這方面的專家。我是一名開發人員,在需要時可以解決這些安全問題。
關閉此。 對於爲什麼事情按照他們的方式工作,我仍然有點模糊,但有些事情是有道理的。 似乎.p12是從包含一些中間證書的p7b創建的。其中一箇中間產品是壞的。這解釋了爲什麼在一臺機器上連鎖不好。
仍然不確定我是如何在不同的機器上看到一個好的鏈條,但我明白爲什麼我看到了不好的鏈條。看起來好的連鎖店是僥倖,應該預料到壞的連鎖店(我原本認爲是相反的)。
我創建了一個沒有中間體的新.p12。清理先前從服務用戶和本地機器商店中的第一個.p12導入的所有不良中間體。所有機器上的所有似乎現在都可以按照預期工作,並具有相同的有效鏈。
我有同樣的問題。兩個不同的Windows 2008 R2服務器,相同的證書。在標準操作系統補丁之後,其中一臺服務器只發送第一層證書信任鏈(編號爲0),所以openssl客戶端失敗並顯示以下消息: 驗證錯誤:num = 21:無法驗證第一個證書
不知道什麼是根本原因。我試圖
沒有成功。終於有助於解決問題的是服務器重新啓動...
你可以探索這個p12文件嗎?它是否具有頒發CA的證書?您可以使用[XCA](http://sourceforge.net/projects/xca/)來執行此操作。我假定認證鏈中的某個地方是交叉認證的證書。在你的機器上,你可能已經手動導入了不同的鏈。在新鮮的windows安裝上測試導入這個p12會很好。我敢打賭,證書鏈將是相同的。 – pepo 2014-10-29 18:21:34