我有一個 Azure B2C 租用戶,它使用自訂策略連接到我們自己的 API。此策略目前配置有 *.something.dev 證書,每 3 個月到期。計劃是用 CA 頒發的證書替換當前的證書,這樣我們就不必每年更換 4 次證書,而只需更換一次。
然而,我們在上傳 Comodo CA 憑證後收到的錯誤是
Microsoft.Cpim.Common.PolicyException
。
我們是否可以在 Azure 中設定 CA 或限制,導致這些問題?我不記得在 Azure 中進行過任何與 CA 相關的設定。
如果我們用 Let's Encrypt 憑證取代 Comodo CA,服務將再次運作。我們這邊的程式碼允許兩個憑證的指紋,因此這不會導致問題。
到目前為止我已經嘗試過:
- 替換 Web 服務上的 URL(從 Something.test.dev 移至 someotherdomain.com)。
- 將 2048 證書替換為 4096 證書,反之亦然。
- 建立了新策略 (B2C_1A_EnrichmentApiClientCertificate)
- 建立了一個新的 B2C 租戶並重新進行所有設定。
- 如果我將我們自己的 API 設定為離線,我會收到此錯誤:
Microsoft.Cpim.Common.Web.ConnectionException
所以我 100% 確定我們正在呼叫這個確切的 API。 - 刪除了所有 CAA 記錄,看看是否與之有任何關係
答案1
這個問題的答案在於證書鏈。
該鏈配置錯誤,我們將非根憑證放置在伺服器上的根儲存中,這導致了問題。
刪除錯誤的憑證為我們解決了這個問題。
我們是如何解決這個問題的:
- 將工作電腦/伺服器 mmc.exe 與非工作環境進行比較,並刪除不符的憑證。