Я работаю над веб-сайтом, который предоставляет шлюз xml, который клиенты могут отправить xml-запрос и получить ответ xml в ответ. Веб-сайт/компания была приобретена крупной организацией и перенесена в их инфраструктуру. Существующий производственный объект использует сертификат ssl определенным центром сертификации, но большая организация использует сертификаты, выданные другим центром сертификации. Мы попробовали запустить тест с одним из своих клиентов, и они получают ошибку установления связи SSL. Оригинальный разработчик говорит, что единственный способ заставить его работать - восстановить исходный сертификат SSL, а не использовать новые. Я ищу руководство или руководство для диагностики этой проблемы, поэтому любая помощь будет оценена по достоинству.SSL XML Gateway - ошибка подтверждения SSL-сертификата
ответ
Что говорит разработчик, из описания мне разумно, но проблема в том, что это их.
Чтобы убедиться, что это именно то, что происходит, вы можете сделать захват wirehark, а затем декодировать поток как SSL. Если проблема заключается в том, что клиент не доверяет отправке сертификата сервером и отклоняет соединение, вы увидите его в рукопожатии в wirehark.
Если вы используете java-клиент, вы можете запустить его с помощью -Djavax.net.debug=ssl, чтобы просмотреть сообщения ssl из java.
Если это действительно проблема, вы должны сконфигурировать доверенное хранилище клиента для отправки сертификата сервером (который является исходным).
Если такая конфигурация возможна, конечно ... Это зависит от применения
UPDATE:
Ну, если вы мигрировали к новому CA, то есть развернуть новый сертификат в интерфейсе, то, к сожалению, это «ваш» - ошибка серверной ошибки.
IMHO, если это возможно, вы должны повторно развернуть старый сертификат на определенный период, сообщая всем заинтересованным сторонам, что вы планируете перейти на новый сертификат, подписанный новым CA, чтобы клиенты не нарушали
В это же время их ответственность заключается в том, чтобы «исправить» свои клиентские приложения, чтобы иметь возможность принять новый сертификат. Это может быть так же просто, как конфигурация, т.е. импорт сертификата в доверительный магазин, как «сложный», чтобы изменить код и перестроить клиентское приложение (например, если новый выпущенный сертификат не имеет расширений, которые проверяет код или CN изменился и т.д).
Если это не представляется возможным перераспределить старый сертификат, то вы просто должны сообщить изменения всех заинтересованных сторон, а затем, они должны «исправить» его соответствующим образом (как упоминалось выше)
Спасибо за ваш ответ. Я считаю, что это должна быть проблема доверия между клиентом и сервером. Наша проблема заключается в том, что клиенты являются независимыми организациями, которые работают с компанией и представляют информацию. У нас технически нет доступа для настройки своих магазинов доверия. Что бы вы порекомендовали в этом случае? – mreyeros
Я ничего не понимаю о чем-то. Вы работаете на стороне сервера, и вы начали использовать новые сертификаты, и в результате соединение клиента нарушилось? Как создаются клиенты? С помощью WSDL? Являются ли клиенты java-приложениями? – Cratylus
Позвольте мне уточнить и предоставить более подробную информацию, у нас есть сайт asp.net, который был первоначально разработан с использованием .net 1.1, этот веб-сайт просто имеет страницу aspx, которая получает запрос xml и обрабатывает его и отправляет ответ xml на вызывающий клиент. Когда я говорю клиент, я имею в виду третью сторону, может быть другой компанией, которая отправляет нам информацию.Я думаю, что это может быть связано с тем, что вы упомянули о доверительном магазине клиента, новый сертификат, вероятно, придется настраивать в каждой доверенной сети клиентов. – mreyeros