1. дома
  2. Вопрос и ответ
  3. Получение этой ошибки: проверка сертификата SSL3_GET_SERVER_CERTIFICATE не выполнена

Получение этой ошибки: проверка сертификата SSL3_GET_SERVER_CERTIFICATE не выполнена

2013-08-17 2 views
0

У нас есть IBM Sterling Connect Direct 4.2 на Windows 2003 Server, все работает нормально, даже с помощью SSL-конфигурации, мы меняем файлы правильно. Теперь я перенес всю конфигурацию в кластерную среду Windows Server 2008. Все в порядке ... Я настроил IBM Sterling Connect Direct 4.6.0.1 - даже настройку SSL, мы только что сделали копию/вставку сертификатов, ключей и доверенных файлов. Все в порядке, и мы можем получать файлы в сеансе SSL. Но ... есть исключение .. Проблема, которую мы сталкиваемся, когда мы пытаемся отправить файлы нашим партнерам мы получаем эту ошибку:Получение этой ошибки: проверка сертификата SSL3_GET_SERVER_CERTIFICATE не выполнена

Message ID: CSPA311E 
SSL Certificate verification failed, reason= self certificate in certificate chain:

СЛЕДОВАЛИ этой ошибки:

Message ID: CSPA309E 
SSL3_GET_SERVER_CERTIFICATE certificate verify failed:

Мы используют точно такую ​​же конфигурацию, за исключением имени IP и сервера, которые изменились. Сертификаты каким-либо образом связаны с именем сервера или IP-адресом?

Любые намеки на эту проблему очень ценятся.

источник

2013-08-17 brokermq

ответ

2

Сертификат выдается для определенного доменного имени или IP-адреса. Я уверен, что это причина вашей ошибки. Вы можете проверить это с помощью keytool.exe, который поставляется с установкой JRE или JDK и находится в каталоге /bin. Так выполните следующее из командной строки:

keytool.exe -printcert -file C:\path\to\your\file.crt

Это даст выход, как: enter image description here

Во второй строчке вы можете увидеть: Owner: CN=localhost, ... это означает, что этот сертификат выдается на локальный хост.

Если эта запись CN отличается от нового IP-адреса или доменного имени, у вас есть две возможности.

  1. Ящик нового сертификата, который выдается для данного конкретного IP-адреса или домена. Вы снова можете использовать java keytool.exe.
  2. Вам необходимо обновить клиентское приложение, которое проверяет действительность сертификата. Таким образом, вам нужно сообщить клиенту, что он не проверяет имя сертификата certs на реальный IP-адрес или поврежденное имя удаленного сервера. (Не рекомендуется по соображениям безопасности.)

источник

2013-08-17 18:46:01

+0

большое спасибо за помощь. Я проверил, как вы советуете, и то, что я получаю в поле CN, - это что-то вроде CN = My company Name (с пробелами). Я не вижу там IP или доменное имя. Даже если вы считаете, что сертификат связан с IP? Еще раз спасибо! – brokermq

+0

Я только что нашел сообщение об устранении неполадок с поддержкой на сайте ibm. http://www-01.ibm.com/support/docview.wss?uid=swg21600815 Кажется, что это для Unix. Во всяком случае, может быть, это поможет вам. Можете ли вы преуспеть! –

+0

Да ... Я уже нашел эту ссылку: p. Но нет отсутствующего сертификата, потому что я использую тот же надежный файл, который теперь отлично работает в другой среде. Это очень странно. Большое спасибо за вашу помощь. Я буду продолжать работать над этим! – brokermq

Смежные вопросы

 Смежные вопросы