如何排查代理-服务器通信中的 SSL 错误。

目录

1. 问题
2. 解决方案
3. 由于无效的 CA
4. 由于通用名称或主题备用名称不匹配
5. 由于证书日期无效
6. 代理服务器证书

问题

解决方案

为解决 SSL 连接中的错误，您可以尝试以下方法。仅当以下方法均无效时，请联系支持。

1. 由于无效的 CA
2. 由于通用名称或主题备用名称不匹配
3. 由于证书日期无效
4. 代理服务器证书

1. 由于无效的 CA

当您的服务器证书由不受信任的证书颁发机构签发（签名）时，就会发生此错误。

分发服务器中的无效 CA

如果您的组织使用 SSL 代理，请检查 SSL 代理服务器的根证书是否在代理机器的信任存储中。如果没有，请安装到信任存储中。如果已存在，请联系客户支持。

中央服务器中的无效 CA

如果您的代理-服务器通信失败：

步骤 1：

如果您的组织使用 SSL 代理，请检查 SSL 代理服务器的根证书是否在代理机器的信任存储中。如果没有，请安装到信任存储中。如果已存在，请继续执行步骤 2。

步骤 2：

如果您已将 SSL 证书导入中央服务器，请根据证书类型执行以下操作：

• 如果证书由企业 CA 签发，请检查该企业 CA 根证书是否在代理机器的信任存储中。
• 如果证书由第三方 CA 签发，您的操作系统可能未能请求证书信任列表（CTL）。如果系统处于隔离状态且无法直接访问互联网，可能导致此情况。如果系统确实应隔离，请手动更新您的 CTL。具体方法因操作系统而异，请参阅操作系统相关文档或联系管理员。

如果浏览器访问中央服务器 Web 控制台时显示此错误：

大多数浏览器有自己的证书信任存储，独立于操作系统的信任存储。当根证书未包含在浏览器的信任存储中时，会发生此错误。您可以手动将中央服务器的根证书添加到浏览器的信任存储中。具体方法因浏览器而异，请查阅对应浏览器文档。

2. 由于通用名称或主题备用名称不匹配

当您的服务器出示的证书名称未能满足以下条件时，将发生此错误：
1. 与服务器 IP 已解析的域名匹配 (或)
2. 与代理尝试访问服务器时使用的域名匹配 (或)
3. 与您在浏览器地址栏中输入的域名匹配。

分发服务器证书中的通用名称或主题备用名称不匹配：

如果分发服务器证书中存在通用名称或主题备用名称不匹配，请联系客户支持。

中央服务器证书中的通用名称或主题备用名称不匹配：

如果您的代理-服务器通信失败：
您需要获取一份证书，其中服务器机器的域名已添加到证书的“主题备用名称”（SANs）字段中。
此操作需要同时针对中央服务器及组织中的 SSL 代理服务器（如有）进行。

如果浏览器访问中央服务器 Web 控制台时显示此错误：
请注意：获取新的“通用名称”（CN）证书不能解决此问题。大多数浏览器（如 Chrome）不再检查此字段。您需要获取一份证书，其中服务器机器的域名已添加到证书的“主题备用名称”（SANs）字段中。此操作需要同时针对中央服务器及组织中的 SSL 代理服务器（如有）进行。

3. 由于证书日期无效

当您的服务器出示的证书尚未生效或已过期时，会发生此错误。也可能表示客户端或服务器机器的日期和时间设置错误。

请检查组织中分发服务器、中央服务器及 SSL 代理服务器（如有）中的以下内容。

• 确保代理机器的日期和时间设置为当前日期和时间。
• 确保服务器机器的日期和时间设置为当前日期和时间。
• 检查服务器使用的证书中的“起始有效期”字段。该日期不应为将来日期。如果分发服务器证书存在此问题，请联系支持；如果是中央服务器或 SSL 代理服务器，则请上传具有正确“起始有效期”的证书。
• 检查服务器使用的证书中的“截止有效期”字段。该日期不应为过去日期。如果分发服务器证书存在此问题，请联系支持；如果是中央服务器或 SSL 代理服务器，则请上传具有正确“截止有效期”的证书。

4. 代理服务器证书

如果您的网络架构中使用代理服务器，必须确保通过代理的安全通信。以下是配置代理服务器证书的步骤：

• 导入代理服务器根证书：
  • 在“Agent settings”或“OSDSettings”选项卡中，您必须导入代理服务器的根证书。请注意，仅允许导入 .cer 或 .crt 格式的证书。导入根证书至关重要；无需单独导入叶子证书或中间证书。
• 处理多链证书：
  • 如果代理服务器的证书包含多个证书链，您应导入根证书。链中的任何中间证书必须包含在叶子证书中。
• 代理根证书续期：
  • 如果代理服务器的根证书到期，您必须导入新证书以保持安全通信。