Последние два дня я пытался решить проблему с SSL-сертификатом на наших серверах.
У нас есть два сервера A и B, я смог подключиться к A с B, но B изменил сертификат ssl. Они поделились этим ключом, и мы импортировали его, но когда я пытаюсь подключиться, BI получает
$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443
verify error:num=10:certificate has expired
notAfter=Sep 17 12:00:00 2021 GMT
Так что это все еще старое. Затем я пытаюсь понять, не смог ли я импортировать новый файл .crt, и если он все еще старый.
$ openssl x509 -in B.crt -noout -dates
notBefore=Aug 4 00:00:00 2021 GMT
notAfter=Aug 4 23:59:59 2022 GMT
Нет, как видите, сертификат новый и действительный. Поэтому я попытался использовать его для проверки соединения с B.
$ openssl s_client -connect B:443 -CAfile B.crt
Но он все равно возвращается
verify error:num=10:certificate has expired
notAfter=Sep 17 12:00:00 2021 GMT
Что мне теперь делать?
решение1
$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443 verify error:num=10:certificate has expired notAfter=Sep 17 12:00:00 2021 GMT
Итак, B отправляет просроченный сертификат. Согласно комментариям, они отправляют действительный сертификат, когда вы используете SNI для запроса сертификата для имени B.
Решение, очевидно, заключается в использовании SNI, поскольку именно это протестировал и реализовал B.