IIS не отправляет промежуточный сертификат SSL
Я установил сертификат Comodo на Windows Server 2012 / IIS 8.5.
Обычно существует два пути сертификации, один из которых требует дополнительной загрузки.
Единственное решение, предоставляемое поставщиком сертификата, - это отключить все способы использования «COMODO RSA Certification Authority», однако это будет работать только до тех пор, пока следующее обновление списка доверенных корневых сертификатов и требует перезагрузки каждый раз.
Должен ли я получить сертификат от другого поставщика (кажется проще?) или можно извлечь части из выпущенного сертификата и восстановить правильную цепочку?
Я заметил, что в цепочке есть сертификат SHA1. Если вы протестируете свой сайт в Firefox, вы можете столкнуться с той же проблемой. Возможно, он считает, что SHA1 более старый и недоверенный. https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/ также https: // support.mozilla.org/en-US/kb/secure-website-certificate может помочь. Использование SHA1 постепенно прекращается и может быть причиной вашей проблемы.
В сертификате нет ничего плохого, у него есть несколько цепочек для поддержки устаревших браузеров. (Это также характерно для других центров сертификации) Все, что вам нужно сделать, это загрузить недостающий промежуточный продукт и добавить его в хранилище сертификатов на сервере, и он будет обслуживать его для этих проблемных клиентов.
Аналогичная проблема произошла с я сегодня на WS2012R2 IIS8.5 на 9 из 80 виртуальных машин Windows, которые были развернуты с нуля с использованием автоматизации Salt. Я исправил это, зайдя в диспетчер IIS, выбрав веб-сайт, в верхнем левом углу «редактировать привязки ...». Выберите сертификат, выберите изменить. Внесите некоторые изменения, нажмите ОК. Снова нажмите «изменить привязки ...», отмените изменения и снова нажмите «ОК». Это решило проблему для меня. Сбои были обнаружены при запуске openssl s_client -connect: 443 'В первой группе строк вывода вы либо видите ошибки openssl' 20 ',' 21 'и' 27 ', если проблема существует, а в противном случае вы видите правильную цепочку сертификатов. .