我在 Windows Server 2019 和 TLS 1.2 上遇到 IIS 問題。
我更換了 ROOT CA,並且有新安裝的受信任根憑證。
現在IIS我有一些網站require ssl設定為true。
現在使用 Firefox 有兩種場景:
在任何需要 TLS 的網站上執行 GET 操作來自客戶(火狐)寄出由舊根 CA 頒發的證書並且仍然有效並且http200/ok。
但
如果來自客戶(Firefox / Chrome 等是相同的)發送由新根 CA 頒發的憑證(也有效)我從伺服器收到 403.7。 (在瀏覽器中看不到這一點,它只是再次要求提供證書)
我不知道為什麼這裡顯示12秒。回應是即時的,在客戶端上我沒有看到 403.7,我看到連線重置?
如何嘗試更多調試?
還有最奇怪的事情:
如果我使用新根 CA 頒發的相同憑證進行相同的操作,但從郵遞員收到 200/ok 如何找出原因?
第二個最奇怪的事情是:
如果我在其他 Windows Server 2019 伺服器上託管相同的站點require ssl,則兩個憑證都可以。
這是新憑證 CA/頒發者的一台伺服器問題。
- - 編輯 - - -
還有一件奇怪的事:
如果我透過伺服器 IP 或本機從伺服器取得相同的內容,並傳送相同的新證書,那就可以了。
所以只有當我們從遠端電腦瀏覽器進入時才會出現這個問題,所以我正在考慮一些 netsh 問題?
不知道還需要檢查什麼。
並且
機器或客戶端或伺服器上都沒有安裝新的根 ca,並且在 mmc>certs 機器受信任的根 ca 中可見,中間也可以等。
在 IIS 上,僅配置了與端點 url 匹配的 https 綁定的 ssl 證書,由新/舊根 CA 頒發,沒有區別 - 從瀏覽器重置連接並從郵遞員確定連接。而且,如果我在伺服器上匯入這個新的客戶端證書,這樣我就可以檢查鏈,證書鏈正常且受信任。
恕我直言,如果它在具有相同客戶端憑證的本機上工作,那麼 IIS 設定 100% 正常,所以它一定是其他東西?也許有 netsh 的東西?也檢查過,與第二台機器上的情況相同,工作正常。
請指教還需要檢查什麼或問題出在哪裡?
答案1
您是否也用新的根 ca 取代了網站上的憑證。更改根 ca 時,整個憑證鏈都會更改,因此憑證本身也需要反映這一點
為了進行測試,我將從新的根 ca 頒發一個新證書,並將其匯入到所涉及網站的 ssl 綁定中。更改憑證後也要確保清除瀏覽器快取並重新啟動 iis
另一個更複雜的選項是匯出當前證書,並作為文字檔案打開,對其進行解碼,然後查看新的根 ca 是否在其中