我有一个p12文件。这是从DigiCert p7b生成的。
当我将它导入我的个人商店的一台机器(Windows服务器,使用证书mmc)时,它会在我查看路径时向我显示一条链。
使用相同的文件,我导入我的个人商店在另一台机器上(也使用证书mmc的windows)。在这一个我看到一个不同的路径(在这种情况下,它有一个过期的跳)
具体来说,在我的证书之上两次跳跃就会出现分歧。
为什么会这样?有什么我可以做的来影响这个链(记住它创建不同路径的p12)?
我还应该说,我不是这方面的专家。我是一名开发人员,在需要时会遇到这些安全问题。
答案 0 :(得分:0)
我有同样的问题。两个不同的windows 2008 r2服务器,相同的证书。在标准操作系统修补之后,其中一个服务器只发送了第一层证书信任链(编号0),因此openssl客户端失败并显示以下消息: 验证错误:num = 21:无法验证第一个证书
不知道根本原因是什么。我试着
没有成功。最终帮助解决问题的是服务器重启......
答案 1 :(得分:0)
关闭它。 我仍然有点模糊为什么事情按照他们的方式工作,但有些事情是有道理的。 似乎.p12是从包含一些中间证书的p7b创建的。其中一个中间体是坏的。这解释了为什么链条在一台机器上坏了。
仍然不确定我是如何在不同的机器上看到一个好链但我理解为什么我看到了坏链。看起来良好的链条是侥幸,坏链应该是预期的(我最初假设相反)。
我创建了一个没有中间体的新.p12。清除以前从服务用户和本地机器商店中的第一个.p12导入的所有不良中间体。所有机器上的所有似乎都按预期工作,并且在所有机器上使用相同的有效链。