SSL XML网关 - SSL证书握手错误

Question

我正在一个网站上公开一个XML网关，客户端可以提交一个XML请求并获得一个XML响应作为回报。该网站/公司已被更大的组织购买并已迁移到其基础架构中。现有生产站点正在使用特定证书颁发机构的SSL证书，但较大的组织使用不同证书颁发机构颁发的证书。我们尝试与其中一个客户端进行测试，他们得到了SSL握手错误。最初的开发人员说，要使其发挥作用的唯一方法是恢复原始SSL证书，而不是使用新证书。我正在寻找一些指导或方向来诊断这个问题，所以任何帮助，将不胜感激。

Answer 1

开发者说什么，从描述来看对我来说是明智的，但问题是他们的。

要验证这正是发生的情况，您可以执行wireshark捕获，然后将流程解码为SSL。如果问题在于客户端不信任服务器发送的证书并拒绝连接，您将在wireshark的握手中看到它。

如果您使用java客户端，您可以使用-Djavax.net.debug=ssl运行它以查看java内的ssl消息。

如果确实存在这个问题，那么您必须配置客户端的信任库让服务器（这是最初的那个）发送证书。

如果此配置是可能的，当然...这取决于应用

UPDATE：

那么，如果你迁移到新的CA，即你在你的界面部署一个新的证书，那么很抱歉地说，这是“你的” - 意味着服务器端错误。恕我直言，如果可能的话，您应该在预先规定的期限内重新部署旧证书，与所有利益相关方沟通，您计划迁移到由新的 CA签署的新证书，以便客户不会中断

然后，他们有责任在这段时间内“修复”他们的客户端应用程序，以便能够接受新证书。这可以像配置一样简单，即将证书导入到信任库，以至于“更复杂”，以至于更改代码并重建客户端应用程序（例如，如果新发布的证书没有代码验证的扩展名或CN已更改等等）。

如果无法重新部署旧证书，然后，你就必须将更改传送给所有利益相关方，然后，就应该相应地“修理”它（如上所述）