5

У меня странная проблема с SSL-сертификатом одного веб-сайта, которая влияет только на один компьютер Операционная система Windows 7 Сайт отлично работает на других компьютерах Win 7 без ошибок, тянет действительные сертификаты. Я не являюсь владельцем или администратором сайта, но поскольку сайт отлично работает на всех других компьютерах, я сомневаюсь, что это проблема с сайтом. "Проблемный компьютер" - это компьютер с Win 7, и ошибка происходит с каждым пользователем Win 7 и каждым браузером (или, по крайней мере, IE10, Chrome и Firefox). Я должен добавить, что когда я загружаю этот "проблемный компьютер" в Ubuntu с USB-ключа, выдается действительный сертификат.

Домен имеет частных и публичных пользователей, поэтому я бы не хотел использовать настоящий домен здесь. Вместо этого я буду использовать один из поддельных доменов Microsoft (contoso.com), чтобы проиллюстрировать проблему. Сертификат, по-видимому, применяется к *.contoso.com , но он появляется только при попытке доступа к https://a.contoso.com . Когда я захожу на https://b.contoso.com , я получаю другой действительный сертификат, который также применяется к *.contoso.com .

РЕДАКТИРОВАТЬ: Браузер /Win 7 изображений ошибок сертификата, удаленных из исходного поста в пользу вывода openssl ниже.

Это было проблемой, так как срок действия сертификата истек 10 декабря 2014 года. Я попытался зайти в certmgr.msc> Доверенные корневые центры сертификации> Сертификаты и удалить все сертификаты GeoTrust для учетных записей текущего пользователя и компьютера. Новый сертификат GeoTrust Global CA появился после перезагрузки, но это не помогло. Опять же, эта проблема затрагивает всех пользователей только на одном компьютере, независимо от используемого браузера. Кроме того, это не влияет на тех же пользователей домена, если они входят в другой компьютер.

Вот некоторые другие решения, которые я пробовал:

  • Перезагрузка (конечно).
  • Использование кнопки "Очистить состояние SSL" в inetcpl.cpl> Content
  • Доступ к сайту через этот "проблемный компьютер" из нескольких публичных сетей WiFi.
  • Использование certutil -setreg chain\ChainCacheResyncFiletime @now для аннулирования текущих записей кэша CRL согласно http://blogs.technet.com/b/pki/archive/2007/09/13/how-to-refresh-the-crl-cache -он-окна-vista.aspx
  • Используйте кнопку "Копировать в файл" в поле «Сертификат> Сведения» на рабочем компьютере, чтобы скопировать рабочий сертификат в файл, который я затем передал и установил на компьютер с истекшим сертификатом. + перезагрузка, не повезло.

Правильно ли я считаю, что это проблема отдельного компьютера, а не сайта, на котором размещена страница? И если это правильно, есть ли способ заставить этот компьютер сбросить устаревший сертификат и получить новый, который получают все остальные компьютеры?

ОБНОВЛЕНИЕ: я, кажется, частично верен в своем предположении, что это не проблема с сайтом, на котором размещена страница. Я предположил, что это была проблема с самим компьютером, но теперь, похоже, проблема с операционной системой Win 7, установленной только на этом "проблемном компьютере". Я пришел к такому выводу, потому что другие компьютеры, работающие под управлением Win 7, извлекают действительные сертификаты и поскольку этот "проблемный компьютер" извлекает действительный сертификат при загрузке в Ubuntu с USB-ключа. Только когда этот "проблемный компьютер" загружается в Win 7, сертификат с истекшим сроком действия появляется. С этим знанием, есть ли способ удалить сертификат с истекшим сроком из Win 7 более успешно, чем те, которые я перечислил (у которых все вышло из строя) выше?

Заранее спасибо.

Изменить: вот вывод из openssl s_client -tls1_2 -connect a.contoso.com:443 -servername a.contoso.com | openssl x509 -text -noout на "проблемном компьютере", используя Cygwin из операционной системы Win 7. Обратите внимание на атрибут Validity, который показывает срок действия сертификата 10 Dec 10 21:59:20 2014 GMT:

$ openssl s_client -tls1_2 -connect a.contoso.com:443 -servername a.contoso.com | openssl x509 -text -noout
depth=1 C = US, O = "GeoTrust, Inc.", CN = GeoTrust SSL CA
verify error:num=20:unable to get local issuer certificate
verify return:0
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 113752 (0x1bc58)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=GeoTrust, Inc., CN=GeoTrust SSL CA
        Validity
            Not Before: Oct  8 16:20:07 2012 GMT
            Not After : Dec 10 21:59:20 2014 GMT
        Subject: serialNumber=ibWVTrZnhDvyhydnlXKodqBj0Azl-unn, C=US, ST=Colorado, L=Denver, O=ContosoCompany, OU=ContosoDepartment, CN=*.contoso.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:df:41:d1:5b:bd:00:68:2c:5e:72:65:39:b6:ac:
                    7d:67:46:64:f9:c7:07:93:89:80:bd:27:77:f0:40:
                    6f:61:3b:58:96:bc:cb:a3:f9:40:ad:63:27:b3:e3:
                    fb:c6:87:dc:c8:af:9e:0e:79:c4:e2:09:31:34:e8:
                    c4:2a:7c:77:f1:88:41:c3:b3:b4:88:50:d0:3b:c9:
                    34:ac:61:e2:4d:a1:cd:6d:4e:db:73:25:eb:b7:f7:
                    82:95:2d:48:10:f7:78:25:a8:c8:05:a0:bd:07:6b:
                    7c:b9:09:e4:73:1a:ae:b7:8b:cd:9a:ef:58:39:70:
                    c3:20:5d:ab:8e:f0:c3:fc:96:d9:07:80:e1:88:e8:
                    b3:83:18:1c:ba:28:9b:a6:45:7f:0f:98:9b:cb:53:
                    29:c6:9e:d5:9c:26:40:bd:81:0d:bc:b3:06:90:9a:
                    a3:25:98:bb:b1:b3:0d:e6:7f:4e:93:8e:ee:b4:de:
                    15:3c:45:ac:1f:41:3d:e1:5e:de:3c:bb:ce:97:40:
                    fa:10:43:1a:bc:44:2a:55:fe:c2:e0:e0:6a:c3:17:
                    08:a6:ca:51:de:44:0a:c0:28:32:58:a4:f5:1a:ed:
                    c0:8f:40:22:6a:05:1a:9c:2c:20:39:24:83:10:36:
                    a0:49:79:4b:50:9e:ea:e7:5d:d2:57:54:a5:a3:24:
                    6b:2d
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier:
                keyid:42:79:54:1B:61:CD:55:2B:3E:63:D5:3C:48:57:F5:9F:FB:45:CE:4A

            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Data Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Subject Alternative Name:
                DNS:*.contoso.com, DNS:contoso.com
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://gtssl-crl.geotrust.com/crls/gtssl.crl

            X509v3 Subject Key Identifier:
                EE:49:78:68:84:FF:89:18:BE:21:E9:34:73:32:59:33:2E:93:B3:2B
            X509v3 Basic Constraints: critical
                CA:FALSE
            Authority Information Access:
                OCSP - URI:http://gtssl-ocsp.geotrust.com
                CA Issuers - URI:http://gtssl-aia.geotrust.com/gtssl.crt

            X509v3 Certificate Policies:
                Policy: 2.16.840.1.113733.1.7.54
                  CPS: http://www.geotrust.com/resources/cps

    Signature Algorithm: sha1WithRSAEncryption
         82:bc:a7:50:e1:36:7c:c0:67:cc:40:56:7b:22:a2:c2:98:2c:
         01:12:b0:6f:0d:01:97:4e:a6:19:5a:d0:eb:61:22:c8:6e:05:
         07:a2:97:2a:4e:4f:0b:a4:af:f4:3b:2c:42:e4:21:6d:4a:b1:
         e8:47:2c:71:56:fb:ec:49:59:97:a7:0f:54:f2:0e:06:cf:e7:
         6a:4c:f7:33:d1:21:aa:bb:e2:a2:c1:85:8e:46:02:e5:e9:93:
         eb:4e:aa:a5:78:e0:bc:94:a6:58:9d:b4:53:98:21:48:48:4c:
         94:dd:3a:96:79:3d:08:ed:25:6c:16:31:1b:e3:a8:9d:4f:7e:
         c7:9e:bf:d7:c5:06:e0:2e:05:94:54:7a:13:71:a7:8a:24:18:
         e1:c3:51:16:e7:02:0d:07:71:e7:ae:d8:27:ed:7c:2b:ba:b7:
         16:ac:95:50:f0:a4:30:1b:f4:4a:6b:ca:7a:f4:b4:f4:cb:d3:
         29:87:a5:b6:03:59:94:c0:f3:7c:91:ee:e7:37:69:3f:b1:fe:
         06:a6:62:12:91:30:c5:63:e0:f9:9f:af:a5:dd:de:15:b8:b6:
         e7:df:78:7a:97:e7:a6:cc:f1:57:e2:b9:00:59:b1:52:03:9c:
         de:b4:e5:4f:45:22:8a:69:26:5b:27:ca:45:98:d9:c3:5a:32:
         d5:f7:27:c2

А вот вывод openssl s_client -tls1_2 -connect a.contoso.com:443 -servername a.contoso.com | openssl x509 -text -noout на "проблемном компьютере", работающем под управлением Ubuntu 14.04 с USB-ключа. Обратите внимание на атрибут Validity, который показывает действительный сертификат, срок действия которого истекает 5 Dec 5 14:21:24 2015 GMT:

ubuntu@ubuntu:~$ openssl s_client -tls1_2 -connect a.contoso.com:443 -servername a.contoso.com | openssl x509 -text -noout
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=19:self signed certificate in certificate chain
verify return:0
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 686155 (0xa784b)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=GeoTrust Inc., OU=Domain Validated SSL, CN=GeoTrust DV SSL CA
        Validity
            Not Before: Dec  1 23:03:54 2014 GMT
            Not After : Dec  5 14:21:24 2015 GMT
        Subject: serialNumber=AEv6bwWEDDnubjaF1huAIm7G/hgmDTWE, OU=GT24051799, OU=See www.geotrust.com/resources/cps (c)14, OU=Domain Control Validated - QuickSSL(R), CN=a.contoso.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:d3:48:ca:32:bb:e9:a3:f9:75:35:71:f2:c0:78:
                    2b:22:60:8d:36:91:20:46:d0:d4:09:d0:8d:fa:3e:
                    e2:bc:23:f6:c1:fc:03:2a:9a:79:da:12:e8:d2:1d:
                    b2:09:df:af:21:42:94:5c:88:68:43:51:57:40:26:
                    d1:b2:51:93:59:5e:ba:2f:41:de:c1:5c:04:e3:66:
                    a3:13:d5:87:de:71:83:cc:03:2a:06:c1:66:29:12:
                    c8:a5:32:91:74:0a:40:87:d4:e7:d8:32:c3:7e:aa:
                    57:75:c0:0e:19:75:27:9a:08:40:8c:1a:90:ab:e6:
                    3a:e7:8c:47:25:ec:d0:61:07:e2:da:a6:86:43:fa:
                    2b:40:0b:37:c2:63:7b:57:4e:fd:3a:54:ce:f9:c7:
                    b7:38:c1:2c:65:76:91:7e:84:85:90:c6:3e:65:5d:
                    e7:57:2f:2f:63:5a:ec:6b:77:6a:9e:9f:2b:f1:40:
                    c6:8f:14:77:ce:ee:3f:f1:e8:87:5f:a0:c0:18:39:
                    8b:63:df:a7:3a:68:39:c1:dc:9b:48:ec:65:75:07:
                    30:b2:6d:91:e8:42:41:cb:a7:33:64:01:21:e2:39:
                    ab:9d:64:7d:b2:24:2c:2c:69:b3:b1:36:ab:ed:93:
                    eb:3d:be:0f:2f:b3:13:47:78:ea:be:77:54:e2:be:
                    ba:71
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier:
                keyid:8C:F4:D9:93:0A:47:BC:00:A0:4A:CE:4B:75:6E:A0:B6:B0:B2:7E:FC

            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Subject Alternative Name:
                DNS:a.contoso.com
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://gtssldv-crl.geotrust.com/crls/gtssldv.crl

            X509v3 Subject Key Identifier:
                B5:10:8A:28:BE:B2:E8:EA:D2:0C:A9:0B:78:BF:1A:4C:FF:CB:70:BE
            X509v3 Basic Constraints: critical
                CA:FALSE
            Authority Information Access:
                OCSP - URI:http://gtssldv-ocsp.geotrust.com
                CA Issuers - URI:http://gtssldv-aia.geotrust.com/gtssldv.crt

            X509v3 Certificate Policies:
                Policy: 2.16.840.1.113733.1.7.54
                  CPS: http://www.geotrust.com/resources/cps

    Signature Algorithm: sha1WithRSAEncryption
         8c:da:2b:78:4e:bf:6e:d8:48:4f:2c:e5:5a:06:18:d7:39:99:
         fd:29:9d:c4:c3:e4:6b:54:82:df:96:c2:84:49:e1:f6:2c:62:
         e0:61:b8:5d:7c:ce:db:38:ab:5f:1c:79:e5:c3:d4:f1:35:2e:
         6c:8e:a2:60:f1:69:9f:41:54:0d:f4:1c:76:5e:46:33:60:a1:
         bb:22:a9:ca:a2:14:a2:6c:e5:c6:80:dd:cb:e7:0e:f2:8a:5e:
         b0:e7:cb:d4:72:3d:01:4f:58:42:9c:7c:81:1f:6e:22:10:0f:
         de:1c:d4:54:cd:8e:5c:4b:35:5f:5a:af:b0:78:9f:60:56:1b:
         10:64:2d:b7:39:55:be:e2:14:b8:27:5c:af:0e:63:03:27:6a:
         bd:a7:14:27:5d:fc:a3:d1:27:3b:e9:23:11:10:63:7d:77:2b:
         b2:db:2e:14:d5:e6:eb:80:6d:fc:bd:af:bb:14:9d:28:9c:91:
         a4:16:b5:4b:70:4d:54:df:5b:0f:3e:83:40:02:cd:56:fd:7a:
         4c:a9:06:2b:45:40:ce:8e:ec:6c:6c:1b:b1:a8:c5:56:fd:60:
         dc:f1:bc:7d:27:63:eb:b7:99:d9:ec:8f:63:d7:a0:b6:7b:ea:
         b0:1e:b2:4c:89:0c:11:c4:c2:dd:1f:e7:ef:db:44:23:c8:52:
         37:40:6a:10

1 ответ1

1

Ответ: Win 7, работающая на "проблемном компьютере", имела отредактированный файл c:\windows\system 32\drivers\etc\hosts . a.contoso.com был жестко задан для указания на определенный IP-адрес (скажем, AAA.BBB.CCC.90). Сайт на AAA.BBB.CCC.90 все еще работал, но он давал истекшие сертификаты. После создания нового сайта с новыми сертификатами (которые странно выглядят точно так же, как и старый сайт) на AAA.BBB.CCC.145 , разработчики сайта должны перенаправить трафик, связанный для a.contoso.com, на новый сайт по адресу AAA.BBB.CCC.145 , который обслуживал действительные сертификаты. Я понял это, запустив трассировочный маршрут (tracert) на одном из рабочих компьютеров, который преобразовал a.contoso.com в AAA.BBB.CCC.145 . Запуск tracert на "проблемном компьютере" дал AAA.BBB.CCC.90 . Просмотр непосредственно на проблемном компьютере AAA.BBB.CCC.145 привел к хорошему сайту с действующим сертификатом! После того, как я удалил строку в файле хоста "проблемного компьютера", направляющую трафик непосредственно к AAA.BBB.CCC.90 , все работает просто отлично.

Теперь кажется, что проблема была на самом деле не с сертификатами Win 7 вообще. Проблема заключалась в том, что этот компьютер направлял свой трафик на старый устаревший сайт со старыми сертификатами с истекшим сроком действия, поскольку адрес этого сайта был жестко запрограммирован в файле hosts.

Спасибо всем, кто помог мне прийти к такому выводу и решить эту проблему.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .