Ssl

如何確定從何處提供 SSL 證書?

  • July 10, 2014

我遇到了這個問題中描述的相同問題: IIS 7 Still Serving old SSL Certificate

我已將舊 SSL 證書替換為新證書,並從伺服器中完全刪除了舊證書。

當他意識到他的 Web 伺服器和 Internet 之間有一個 ISA 伺服器時,上面的發布者解決了他的問題,因此他從 ISA 記憶體中清除了舊證書,問題就解決了。

我在其他地方看到了相同的解決方案: http ://forums.iis.net/t/1182296.aspx

不幸的是,我無法向我的 ISP 證明問題不在我的伺服器上,並且他們將舊證書記憶體在其基礎架構中的某個位置。

我 99.999% 確信證書安裝和綁定在 IIS 上是正確的:

  • 我為站點配置了 2 個綁定,使用不同的備用埠 9443 和 8443。
  • 舊證書以前綁定到埠 9443 上的站點,現在兩個綁定都使用新證書
  • 我已將 etc/hosts 文件配置為將綁定域指向 127.0.0.1,因此當我打開瀏覽器訪問該域時,請求都是本地的
  • 如果我從另一台機器(即通過 Web)訪問 2 個 URL,我會在埠 9443 上獲得舊證書,在埠 8443 上獲得新證書
  • 如果我從 Web 伺服器上的瀏覽器訪問 2 個 URL,我會在兩個埠上獲得新證書

我 99.999% 確定證書沒有記憶體在客戶端

  • 我已經通過 PC 和移動設備上的多個瀏覽器訪問了該站點
  • 我通過多個連接訪問了該站點,包括我的公司 LAN、家庭 DSL 和移動

我的下一步是執行 TLS 會話建立的跟踪路由之類的操作,以找出舊證書的服務來源,這樣我就可以向我的 ISP 證明這是他們需要解決的問題。

這可能嗎,有什麼工具可以做到這一點?

我認為您的 ISP 在這方面沒有記憶體任何內容,原因如下:

  • 要使用您的指紋提供您的證書,他們需要有權訪問您的私鑰
  • ISP 通常不記憶體 SSL 流量
  • ISP 尤其不會在非標準埠上記憶體 SSL 流量

所以這似乎是您自己的伺服器的問題。嘗試重新啟動它,嘗試跟踪它,嘗試來自 @MadHatter 之類的評論中的建議: echo ""|openssl s_client -connect 127.0.0.1:9443 |openssl x509 -text -noout|&grep depth=0

此外,如果您使用 SNI 或類似的東西,請確保 IIS 中的預設非 SNI 網站具有正確的證書綁定,因為這至少提供給非 SNI 客戶端,並且當它們不匹配時我發現了問題不應該有問題的地方。

引用自:https://serverfault.com/questions/611531