In den letzten beiden Tagen habe ich versucht, das SSL-Zertifikatproblem auf unseren Servern zu beheben.
Wir haben zwei Server A und B. Ich konnte A mit B verbinden, aber B hat das SSL-Zertifikat geändert. Sie haben diesen Schlüssel geteilt und wir haben diesen importiert, aber wenn ich versuche, BI zu verbinden, bekomme ich
$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443
verify error:num=10:certificate has expired
notAfter=Sep 17 12:00:00 2021 GMT
Das ist also immer noch alt. Dann versuche ich herauszufinden, ob ich keine neue .crt-Datei importieren konnte und ob es immer noch eine alte ist.
$ openssl x509 -in B.crt -noout -dates
notBefore=Aug 4 00:00:00 2021 GMT
notAfter=Aug 4 23:59:59 2022 GMT
Nein, wie Sie sehen, ist das Zertifikat neu und gültig. Also habe ich versucht, es zu verwenden, um die Verbindung zu B zu testen.
$ openssl s_client -connect B:443 -CAfile B.crt
Aber es kommt immer noch zurück
verify error:num=10:certificate has expired
notAfter=Sep 17 12:00:00 2021 GMT
Was sollte ich jetzt tun?
Antwort1
$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443 verify error:num=10:certificate has expired notAfter=Sep 17 12:00:00 2021 GMT
B sendet also ein abgelaufenes Zertifikat. Laut Kommentaren senden sie ein gültiges Zertifikat, wenn Sie SNI verwenden, um das Zertifikat für den Namen B anzufordern.
Die Lösung besteht offensichtlich darin, SNI zu verwenden, da B dies getestet und implementiert hat.