У меня терминальный сервер Windows 2008 R2. При доступе через Интернет (например, https://ts.domain.com/RDWeb) Я получаю сообщение о том, что сертификат SSL отозван. Похоже, что он выдает старый сертификат SSL, который с тех пор был обновлен дополнительным альтернативным именем (SAN).
Однако, когда я обращаюсь к тому же URL-адресу из локальной сети или VPN, страница RDWeb отображается правильно, без ошибок отзыва. Когда я проверяю сертификаты SSL в веб-браузере, клиент LAN / VPN показывает серийный номер сертификата обновления. Веб-браузер внешнего клиента покажет серийный номер того, что я считаю старым сертификатом.
Межсетевой экран, обслуживающий внешних клиентов, - это Cisco ASA 5510, который, насколько мне известно, не требует обновления сертификатом SSL (по сравнению с некоторыми межсетевыми экранами, такими как ISA, которые могут).
Когда я запускаю эту команду:
certutil -store MY
Он показывает только сертификат SSL с текущим серийным номером (выданный клиентам LAN / VPN), а серийный номер, который выдается внешним клиентам, не может быть найден.
Также стоит отметить, что я повторно использовал сертификат SSL с сервера Exchange, добавил SAN для сервера терминалов, экспортировал его с сервера Exchange и импортировал на сервер терминалов. Он работал в моем первоначальном тестировании, но теперь я вижу эту проблему, и мне интересно, нужен ли ему собственный сертификат SSL.
РЕДАКТИРОВАТЬ: Через VPN Chrome выдает ошибку отзыва, но IE и Firefox открываются без проблем. Chrome отлично работает в локальной сети.
Проблема была связана со старой общедоступной записью DNS, которая никогда не удалялась, поэтому внешние пользователи случайным образом получали правильный / неправильный общедоступный IP-адрес.