使用自签名SSL证书可以正常工作,但CA签名证书会导致握手警报失败40以响应客户端问候

时间:2015-05-25 11:55:14

标签: ssl

到目前为止,我已经使用openssl,sslyze,密钥库实用程序和一些标准Windows诊断命令来尝试表征此问题。总结是,一旦我尝试使用其中包含CA签名证书的密钥库,我就会在客户端问候后立即获得握手失败40。连接永远不会与具有CA证书的服务器问候一样。

在同一台计算机(Windows Server 2012)上,如果我使用自签名证书,则连接按预期工作。

Openssl显示了CA证书的握手失败。

sslyze显示所有密码都被拒绝,无法使用密码或TLS /警报握手失败。

使用自签名证书成功的事实往往表明"基础知识"在那里,客户端和服务器有必要的密码等连接,并且server.xml配置正确。

导入证书时没有错误消息,并且似乎使用基于keytool检查的CA证书正确配置了所有内容。在服务器启动期间没有给出错误消息,表明处理证书时出现任何问题。

对于具有CA证书的密钥库,我是否应该更密切地关注可能导致客户端完全拒绝的问题?不同的密钥库或CA证书如何影响握手的最早步骤?

感谢您提供的信息。

1 个答案:

答案 0 :(得分:0)

我假设您正在讨论服务器端证书和服务器端密钥库,因为错误发生在尚未涉及客户端证书的状态。如果服务器能够将自签名证书发送到客户端,但无法将CA签名证书发送到客户端,那么您尝试发送的证书或证书不能出错与客户提供的密码一起使用。

由于问题显然是在服务器端,因此您应首先检查服务器端写入的所有日志,以提示错误可能是什么。典型的问题是不存在的文件,错误的文件,密码保护的客户端密钥没有提供密码或密钥不属于证书。