У меня есть балансировщик нагрузки, настроенный для взаимной аутентификации SSL. Насколько мне известно, балансировщик нагрузки был настроен с использованием сертификата Entrust и был установлен с нашим собственным ЦС в качестве доверенного корня.
На стороне клиента у меня установлен наш ЦС в качестве доверенного корня и подписанный сертификат ЦС в качестве личного сертификата.
Когда я подключаюсь с помощью Internet Explorer, мне предлагается выбрать сертификат, и сертификат клиента есть, но как только я его выбираю, страница не работает.
При подключении к моему Java-приложению с Entrust в моем хранилище доверенных сертификатов и клиентом .p12 в моем хранилище ключей я получаю ошибку подтверждения SSL.
Используя OpenSSL, я получаю следующее:
openssl s_client -connect xxx.xxx.xxx:443 -state -nbio
Loading 'screen' into random state - done
CONNECTED(00000134)
turning on non blocking io
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:error in SSLv2/v3 read server hello A
write R BLOCK
SSL_connect:SSLv3 read server hello A
depth=1 /C=US/O=Entrust, Inc./OU=www.entrust.net/rpa is incorporated by reference/OU=(c) 2009 Entrust, Inc./CN=Entrust Certification Authority - L1C
verify error:num=20:unable to get local issuer certificate
verify return:0
SSL_connect:SSLv3 read server certificate A
SSL_connect:SSLv3 read server certificate request A
SSL_connect:SSLv3 read server done A
SSL_connect:SSLv3 write client certificate A
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL_connect:error in SSLv3 read finished A
SSL_connect:error in SSLv3 read finished A
read R BLOCK
SSL3 alert read:fatal:handshake failure
SSL_connect:failed in SSLv3 read finished A
1688:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:.\ssl\s3_pkt.c:1053:SSL alert number 40
1688:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:.\ssl\s3_pkt.c:838:
Может ли кто-нибудь помочь с проблемой? На клиенте или на сервере и с каким сертификатом?