我在tomcat服务器上安装了一个新的签名证书(SHA256而不是SHA1)。我初始化了一个像旧的密钥库一样的新密钥库。但在此之后我无法通过Internet Explorer连接到我的网站。 (这是一个内部网站点,并且内联网站点的兼容模式未经检查)IE在~200ms后中止了站点请求,并且在开发者控制台中没有显示错误输出/调试消息。
链中的所有根证书和中间证书都安装在“Windows证书库”中。
在Chrome / Firefox中一切正常,证书链有效。
这是我的tomcat配置,但它没有改变(我知道这不是使用带有默认密码的密钥库的最佳方式)。 server.xml中:
...
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
URIEncoding="UTF-8"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
...
PS:如果我回到旧的密钥库,所有工作都“正常”,IE显示“证书已撤销”输出。
编辑1:我在系统日志中找到了相关条目
Protocolname: System
Source: Schannel
Entry-ID: 36887
It has received a serious warning: 80.
Edit2:时间服务器配置不正确,但问题仍然存在。
EDIT3: 系统信息
Java: 1.6.0
Tomcat: 6.0.41.0
OS: SLES 11 SP 3
Edit4: 我使用工具sslscan检查网络服务器,我猜问题是匹配的chipersuite
Prefered Server Cipher(s):
TLSv1 128 bits DHE-RSA-AES128-SHA
答案 0 :(得分:0)
我发现我的服务器只为SHA128(DHE-RSA-AES128-SHA)提供了一个chiper套件。
<强>解决方案:
要为SHA256添加ChiperSuits,您必须安装其他策略文件。 对于IBM Java安装扩展 unrestrictedpolicyfiles
对于Sun / Oracle Java版本,请使用JCE Unlimited Strength Jurisdiction Policy
重启服务器后一切正常。