Apache-2.2

EC2 Apache 伺服器給一些舊瀏覽器一個自簽名證書?

  • July 2, 2012

我從 RapidSSL 購買了萬用字元 SSL。它在我的 AWS 負載均衡器上執行良好,但最近,我注意到當我們的一台舊的第二代測試 iPhone 訪問它時,相同的證書在我們的測試伺服器上不起作用,而負載均衡器不在負載均衡器上。這導致我對我們的測試伺服器執行 RapidSSLs 證書檢查器。它聲稱伺服器正在返回一個非常令人費解的自簽名證書。我檢查了另一個 RapidSSL 的線上檢查器,得到了顯示自簽名證書的更詳細的結果。

奇怪的是,當您在任何現代瀏覽器上訪問測試伺服器上的網站時,您都會獲得正確的證書和正確的 CA 證書。我什至在網際網路上找到了另一個 SSL 檢查器,它說一切都很好。我已經檢查,雙重檢查和三次檢查我的 http.conf 文件

NameVirtualHost *:443
<VirtualHost *:443>
   ServerName test.MYDOMAIN.com
   DocumentRoot /var/www/html/
   SSLEngine on
   SSLProtocol all
   SSLCACertificateFile /usr/local/ssl/crt/cmint.crt
   SSLCertificateFile /usr/local/ssl/crt/cm.crt
   SSLCertificateKeyFile /usr/local/ssl/crt/cm.key
</VirtualHost>

一切正常,我不認為證書文件有任何問題。就在我或 Amazon 的配置中,當舊設備訪問未使用負載均衡器的實例時,我會將此自簽名證書提供給舊設備。

NameVirtualHost在此伺服器上使用 a 嗎?我想知道SNI是否有錯。在 Win XP 上嘗試 IE(或 WikiPedia 頁面上列出的其他組合之一),看看這是否會導致自簽名證書。

該頁面說 iOS > 4.0 支持 SNI,因此推測早期版本不支持。

我懷疑你有一個帶有自簽名證書的預設虛擬主機,它永遠不會出現在支持 SNI 的瀏覽器中。

引用自:https://serverfault.com/questions/404162