到目前为止,我已经使用了openssl,sslyze,密钥库实用程序和一些标准的Windows诊断命令来尝试表征这个问题 . 总结是,一旦我尝试使用其中包含CA签名证书的密钥库,我就会在客户端问候后立即获得握手失败40 . 连接永远不会与具有CA证书的服务器问候一样 .
在同一台计算机(Windows Server 2012)上,如果我使用自签名证书,则连接按预期工作 .
Openssl显示CA证书到位时的握手失败 .
sslyze显示所有密码都被拒绝,无法使用密码或TLS / Alert握手失败 .
使用自签名证书成功的事实往往表明存在“基础”,客户端和服务器具有必要的密码等,以便连接,并且server.xml已正确配置 .
导入证书时没有错误消息,并且似乎使用基于keytool检查的CA证书正确配置了所有内容 . 在服务器启动期间没有给出错误消息,表明处理证书时出现任何问题 .
对于具有CA证书的密钥库,我是否应该更密切地关注可能导致客户端完全拒绝的问题?不同的密钥库或CA证书如何影响握手的最早步骤?
感谢您提供的信息 .
1 回答
我假设您正在讨论服务器端证书和服务器端密钥库,因为错误发生在尚未涉及客户端证书的状态 . 如果服务器能够将自签名证书发送到客户端,但无法将CA签名证书发送到客户端,那么您尝试发送的证书或证书不能出错与客户提供的密码一起使用 .
由于问题显然是在服务器端,因此您应首先检查服务器端写入的所有日志,以提示错误可能是什么 . 典型的问题是不存在的文件,错误的文件,密码保护的客户端密钥没有提供密码或密钥不属于证书 .