我们有一个用户正在连接到我们的服务器。
我们有一个通配符证书:* .ourdomain.com
用户可以去d.ourdomain.com并且在浏览器中没有证书错误。 但如果他们去i.ourdomain.com(这是一个特定的服务器),他们会得到一个证书错误,说根CA是无效的。 但是与其他地址相同的证书,并且错误中显示的发行者在他们的系统中被列为可信任的CA?
有什么想法或什么更多的信息,我可以尝试在这里帮助解决这个问题的想法?
这是低优先级,因为它只有一个用户有这个问题,但仍然想解决这个用户,使所有的用户感到高兴。
也许用户有caching的旧版本的证书,并没有看到当前的副本?
例如在IE6 / 7中,他们可以
然后尝试再次访问该网站。
如果他们确认他们在IE6中,请求他们升级到IE7,假设您没有只需要IE 6的遗留代码问题。 如果你强制使用IE6只是将它们发送到http://support.microsoft.com/kb/870700并让他们这样做,如果上面的短版本不起作用。
如果IE是一个问题,你也可以build议他们下载Firefox,看看它的行为。
有问题的服务器是否有用于签署通配符证书的root证书? 或者是与通配符之间的任何中间证书? 我以前曾经打破过一个网站。
尝试从其中一台运行正常的服务器中导出链中的所有证书,然后将其导入到服务器上没有的相应证书存储区中。
下面是一个理论:有问题的用户使用的浏览器没有证书的CA的签名链, 而 i.ourdomain.com的服务器不提供中间证书。 所以修复用户或服务器将解决这个问题。
您很可能没有在该特定的服务器上的必要的链证书。 你可以在这里validation: http : //www.sslshopper.com/ssl-checker.html
您只需要安装SSL提供程序随主要证书附带的中间/链式证书即可摆脱该错误。