Tham gia Đăng nhập
Điểm:-2
SS YY KK avatar Server

Không thể gia hạn chứng chỉ ssl, notafter không bao giờ thay đổi

lá cờ cn
SS YY KK

Hai ngày qua tôi đã cố gắng khắc phục sự cố chứng chỉ ssl trong máy chủ của chúng tôi.

Chúng tôi có hai máy chủ A và B, Tôi đã có thể kết nối A với B nhưng B đã thay đổi chứng chỉ ssl. Họ đã chia sẻ khóa này và chúng tôi đã nhập khóa đó nhưng khi tôi cố gắng kết nối B thì tôi nhận được

$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443
xác minh lỗi:num=10:chứng chỉ đã hết hạn
notafter=17 tháng 9 12:00:00 2021 GMT

Vì vậy, điều này vẫn còn cũ. Sau đó, tôi cố gắng tìm hiểu xem liệu tôi không thể nhập tệp .crt mới hay không và liệu tệp đó có phải là tệp cũ không.

$ openssl x509 -in B.crt -noout -dates
   not Before=Ngày 4 tháng 8 00:00:00 2021 GMT
   notafter=ngày 4 tháng 8 23:59:59 2022 GMT

Không, như bạn thấy chứng chỉ mới và hợp lệ. Vì vậy, tôi đã thử sử dụng nó để kiểm tra kết nối với B.

$ openssl s_client -connect B:443 -CAfile B.crt

Nhưng nó vẫn quay lại

 xác minh lỗi:num=10:chứng chỉ đã hết hạn
 notafter=17 tháng 9 12:00:00 2021 GMT

Tôi nên làm gì bây giờ?

93
0 + 0
lá cờ in
Gerald Schneider
Bạn đã khởi động lại dịch vụ sau khi thay thế các tệp chứng chỉ chưa?
2
Hồi đáp
SS YY KK avatar
lá cờ cn
SS YY KK
Bạn có nghĩa là openssl? Tôi đã không khởi động lại bất cứ thứ gì, ngay cả khi tôi sử dụng -CAfile, có hai kết quả khác nhau. Khi tôi kiểm tra tính hợp lệ từ tệp .crt, thì nó có vẻ hợp lệ. Nhưng khi tôi cố gắng kết nối tệp crt hợp lệ này, nó sẽ trả về vì nó không bao giờ sử dụng tệp .crt.
0
Hồi đáp
lá cờ in
Gerald Schneider
Sau khi thay thế tệp chứng chỉ, bạn cần khởi động lại hoặc tải lại các dịch vụ sử dụng tệp đó để chúng có thể tải chứng chỉ mới.
1
Hồi đáp
Điểm:1
vidarlo avatar Server
lá cờ ar
vidarlo 
$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443
xác minh lỗi:num=10:chứng chỉ đã hết hạn
notafter=17 tháng 9 12:00:00 2021 GMT

Vì vậy, B gửi một chứng chỉ đã hết hạn. Theo nhận xét, họ gửi chứng chỉ hợp lệ khi bạn sử dụng SNI để yêu cầu chứng chỉ cho tên B.

Giải pháp rõ ràng là sử dụng SNI, vì đây là điều mà B đã thử nghiệm và triển khai.

0 + 0
SS YY KK avatar
lá cờ cn
SS YY KK
Nhưng khi tôi thử chứng chỉ mà họ gửi, chẳng hạn như openssl x509 -in B.crt -noout -dates, tôi nhận được đúng ngày.
0
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
B rõ ràng là không sử dụng chứng chỉ đó vì ngày không khớp. Khi bạn kết nối với B, B sẽ gửi chứng chỉ mà nó sử dụng để xác thực chính nó. Điều quan trọng là chứng chỉ B gửi, không phải những gì bạn đã lưu trữ cục bộ.
0
Hồi đáp
SS YY KK avatar
lá cờ cn
SS YY KK
Tôi có thể thấy từ trình duyệt rằng họ đang sử dụng chứng chỉ này, ngày khớp với trình duyệt.
0
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
Vì vậy, bạn không chạy B? Liên hệ với bất cứ ai đang chạy B.
0
Hồi đáp
SS YY KK avatar
lá cờ cn
SS YY KK
Cảm ơn, vì họ có thể kết nối với SNI, chẳng hạn như openssl s_client -CApath /etc/ssl/certs/ -connect B:443 -servername B , họ nói rằng chứng chỉ của chúng tôi có vấn đề. Nhưng khi tôi kiểm tra https://serverfault.com/questions/799345/openssl-returns-the-expired-certificate-while-browser-shows-the-correct-one post, tôi nghĩ họ cần thay đổi một số tệp cấu hình, tôi phải làm gì bạn nghĩ?
0
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
Ok, vì vậy họ rõ ràng mong đợi SNI. Bạn đã *thử* với SNI chưa? Tôi hoàn toàn không thể hiểu được đầu hoặc đuôi của câu hỏi này.
0
Hồi đáp
SS YY KK avatar
lá cờ cn
SS YY KK
Hừm, vâng, tôi đã thử. Tôi có thể nhận được Xác minh mã trả lại: 0 (ok) với SNI $openssl s_client -connect B:443 -servername B. Cảm ơn, tôi sẽ thông báo cho B và cho họ biết vấn đề nằm ở phía họ.
0
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
Vấn đề không nằm ở phía họ. Rõ ràng là họ mong đợi bạn sử dụng SNI, còn bạn thì không.
0
Hồi đáp
SS YY KK avatar
lá cờ cn
SS YY KK
Họ đã loại bỏ kiểm soát sni trong khi ràng buộc chứng chỉ. Bây giờ nó đang hoạt động, cảm ơn.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.