У меня есть веб-сервер, защищенный сертификатом SSL от godaddy. Сертификат работает нормально примерно для 30 клиентов, но один клиент не может подключиться, и я не могу понять, почему.
Вот ошибка в журналах событий Windows. Я использую сервер Windows 2008 R2:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
<EventID>36887</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2016-01-07T18:14:25.883747000Z" />
<EventRecordID>380823</EventRecordID>
<Correlation />
<Execution ProcessID="612" ThreadID="712" />
<Channel>System</Channel>
<Computer>nfswebservice</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="AlertDesc">46</Data>
</EventData>
</Event>
Я просмотрел это и обнаружил, что предупреждение 46 = "TLS1_ALERT_CERTIFICATE_UNKNOWN", которое, похоже, является общей ошибкой, указывающей только на то, что с сертификатом что-то не так.
Дело в том, что сертификат, похоже, работает нормально для всех, кроме этого одного клиента. Участвующий в этом клиент использует ColdFusion 10 с Java 7, чтобы попытаться связаться с сервером, и только они получают ошибку.
Еще больше сбивает с толку то, что до перезапуска сервера несколько дней назад этот 1 клиент работал нормально. Итак, я знаю, что триггером был перезапуск сервера, но я не могу найти, что случилось.
Может ли кто-нибудь указать мне правильное направление? Мне нужно выяснить более подробную информацию об ошибке, и у меня нет опыта в отслеживании таких проблем. Есть ли где-нибудь еще один журнал, который мне следует посмотреть?
Попросите клиента ColdFusion сделать дамп запроса cfhttp на ваш сервер.
Попросите их сделать снимок экрана с этой дампа и, если возможно, разместите здесь сообщение.
Я предполагаю, что у клиента (Java 7) может быть проблема с хранилищем / цепочкой сертификатов с вашим сертификатом. Только предположение, но дамп должен внести некоторую ясность.
В любом случае они должны проверить хранилище ключей на предмет правильного корня / цепочки CA, чтобы убедиться, что на их стороне есть соответствующие сертификаты.