В нашем приложении истек срок действия сертификата, и мы обновили сертификат. После обновления наших файлов конфигурации новым отпечатком есть одна служба, которая не работает, и, согласно средству просмотра событий, она не может найти обновленный сертификат.
Сравнив его со старым сертификатом, мы заметили, что имя субъекта не совпадает. Для старого сертификата это было
CN = xxx.xxx.xxx
OU = xx.xx.xx
O = xx.xx.xx
L = xx.xx.xx
S = хх
C = XX
Новый сертификат выглядит так
CN = xxx.xxx.xxx
Значение CN одинаково в обоих случаях. Просто другие детали, такие как OU, O, L, S и C, отсутствуют в новом. Имеет ли это значение, когда служба проверяет наличие сертификата?
Если ваше приложение ведет себя как браузер или использует стандартные библиотеки SSL, оно заботится только о том, чтобы CN (или SubjectAltName) соответствовал желаемому имени хоста.
Если ваше приложение общедоступно, попробуйте указать на него средство проверки SSL ssllabs.com. Распространенной проблемой является отсутствие / неправильный промежуточный сертификат, который может нарушить работу некоторых клиентов.
Также возможно, что ваш отказавший клиент не доверяет корневому сертификату, используемому для обновления сертификата сервера.