如何確定從何處提供 SSL 證書？

我遇到了這個問題中描述的相同問題： IIS 7 Still Serving old SSL Certificate

我已將舊 SSL 證書替換為新證書，並從伺服器中完全刪除了舊證書。

當他意識到他的 Web 伺服器和 Internet 之間有一個 ISA 伺服器時，上面的發布者解決了他的問題，因此他從 ISA 記憶體中清除了舊證書，問題就解決了。

我在其他地方看到了相同的解決方案： http ://forums.iis.net/t/1182296.aspx

不幸的是，我無法向我的 ISP 證明問題不在我的伺服器上，並且他們將舊證書記憶體在其基礎架構中的某個位置。

我 99.999% 確信證書安裝和綁定在 IIS 上是正確的：

• 我為站點配置了 2 個綁定，使用不同的備用埠 9443 和 8443。
• 舊證書以前綁定到埠 9443 上的站點，現在兩個綁定都使用新證書
• 我已將 etc/hosts 文件配置為將綁定域指向 127.0.0.1，因此當我打開瀏覽器訪問該域時，請求都是本地的
• 如果我從另一台機器（即通過 Web）訪問 2 個 URL，我會在埠 9443 上獲得舊證書，在埠 8443 上獲得新證書
• 如果我從 Web 伺服器上的瀏覽器訪問 2 個 URL，我會在兩個埠上獲得新證書

我 99.999% 確定證書沒有記憶體在客戶端：

• 我已經通過 PC 和移動設備上的多個瀏覽器訪問了該站點
• 我通過多個連接訪問了該站點，包括我的公司 LAN、家庭 DSL 和移動

我的下一步是執行 TLS 會話建立的跟踪路由之類的操作，以找出舊證書的服務來源，這樣我就可以向我的 ISP 證明這是他們需要解決的問題。

這可能嗎，有什麼工具可以做到這一點？

我認為您的 ISP 在這方面沒有記憶體任何內容，原因如下：

• 要使用您的指紋提供您的證書，他們需要有權訪問您的私鑰
• ISP 通常不記憶體 SSL 流量
• ISP 尤其不會在非標準埠上記憶體 SSL 流量

所以這似乎是您自己的伺服器的問題。嘗試重新啟動它，嘗試跟踪它，嘗試來自 @MadHatter 之類的評論中的建議： echo ""|openssl s_client -connect 127.0.0.1:9443 |openssl x509 -text -noout|&grep depth=0

此外，如果您使用 SNI 或類似的東西，請確保 IIS 中的預設非 SNI 網站具有正確的證書綁定，因為這至少提供給非 SNI 客戶端，並且當它們不匹配時我發現了問題不應該有問題的地方。

引用自：https://serverfault.com/questions/611531