我们其中一个站点的SSL证书已过期,我已被授予续订任务,尽pipe不是任何types的服务器pipe理员。 我已经完成证书请求并将其添加到服务器证书。 然后,我将这个新证书分配给相关站点的https绑定。
当我查看证书时,它显示了从Entrust提供者到2020年期满,使用sha256 hash和sha1指纹。
如果我在我们公司的networking上访问网站,我可以看到正确的新证书。 但是,此networking以外的任何用户(包括如果断开连接)都将收到“证书不可信”错误。 在检查了正在服务的证书之后,它将显示旧的SHA1哈希过期证书。
我已经使用DigiCertUtil检查了certlog,并validation了没有与现有有效证书相对应的SSL哈希值。 也没有其他与此网站相关的HTTPS绑定。 我在这里错过了什么?
如果我在我们公司的networking上访问网站,我可以看到正确的新证书。 但是,这个networking之外的任何用户,
如果在直接连接时看到有效的证书,但在外部连接时不能看到,这可能意味着您和服务器之间存在某种代理。 也许是一个负载平衡器,或某种安全设备。 从外部连接时,请仔细查看您的站点名称parsing为的目标地址。 find具有该地址的系统并修复它。 或find该系统的负责人。
基本上你不应该启用旧的sha1指纹了。 现代浏览器不再使用这种encryption方法,因为这是不安全的。 您应该在公司的不同浏览器和系统上进行testing。
其次,一些CA提供商可能因为假设MITM(中间人攻击)而被禁止。 据我所知,StartSSL.com已经被Mozilla基金会禁止,所有最新的Mozilla Firefox浏览器都不再信任它的CA,但是StartSSL仍在提供CA.
第三,检查你的CA连锁。 CA链通常有3层或多或less。 如果其中一个链不是来自可靠的提供者,则CA将不会被客户信任。