Назад | Перейти на главную страницу

Как определить, откуда подается сертификат SSL?

У меня проблема, описанная в этом вопросе: IIS 7 все еще обслуживает старый сертификат SSL

Я заменил старый сертификат SSL на новый и полностью удалил старый сертификат с сервера.

Плакат выше решил его проблему, когда он понял, что между его веб-сервером и Интернетом существует ISA-сервер, поэтому он очистил старый сертификат из кеша ISA, и проблема была решена.

Я видел такое же решение в другом месте: http://forums.iis.net/t/1182296.aspx

К сожалению, у меня возникают проблемы с тем, чтобы доказать своему интернет-провайдеру, что проблема не на моем сервере и что они кэшируют старый сертификат где-то в своей инфраструктуре.

Я на 99,999% уверен, что установка сертификата и привязки верны в IIS:

Я на 99,999% уверен, что сертификат не кэшируется на стороне клиента:

Мой следующий шаг - сделать что-то вроде трассировки маршрута установления сеанса TLS, чтобы выяснить, откуда обслуживается старый сертификат, чтобы я мог доказать своему интернет-провайдеру, что это то, что им нужно решить.

Возможно ли это, какие инструменты для этого доступны?

Я не думаю, что ваш интернет-провайдер кэширует что-либо в этом отношении, вот причины:

  • Чтобы предоставить ВАШ сертификат с ВАШИМ отпечатком пальца, они должны иметь доступ к ВАШЕМУ закрытому ключу.
  • Интернет-провайдеры обычно не кэшируют SSL-трафик
  • Интернет-провайдеры особенно не кэшируют SSL-трафик на нестандартных портах.

Кажется, это проблема с вашим собственным сервером. Попробуйте перезагрузить его, попробуйте трассировку, попробуйте предложения из комментариев, например @ MadHatter: echo ""|openssl s_client -connect 127.0.0.1:9443 |openssl x509 -text -noout|&grep depth=0

Кроме того, если вы используете SNI или что-то в этом роде, убедитесь, что веб-сайт по умолчанию, не относящийся к SNI, в IIS имеет правильную привязку к сертификату, поскольку он обслуживается, по крайней мере, клиентам, не относящимся к SNI, и я видел проблемы, когда они не совпадали где не должно было быть проблем.