主页 / server / 问题 / 407064
Accepted
Roger Far
Asked: 2012-07-13 02:42:11 +0800 CST

Mac Safari OS 不接受服务器证书

  • 772

我们有一个带有通配符证书的 IIS 7 服务器。如果您在任何浏览器中测试它,这应该可以找到: https ://www.profcoach.nl

但是当我尝试在 Safari MaxOS Leopard 或 Lion 中测试它时它不起作用,调试器说:

GET https://profcoach.nl/此服务器的证书无效。您可能正在连接到一个伪装成“profcoach.nl”的服务器,这可能会使您的机密信息面临风险。

问题是它没有给我一个正确的 GUI 警告弹出窗口,它只是终止了请求。

确切的问题可能是什么?

mac-osx iis-7 ssl safari

2 个回答

  1. 几件事:

    通配符用于域的给定级别。如果您的通配符用于“*.example.com”,则不包括裸名“example.com”。您将需要一个主题备用名称来覆盖额外的“example.com”。

    第二期:

    转到任一 URL 时我都验证失败。例如:

    $ curl -Iv https://www.profcoach.nl/
* About to connect() to www.profcoach.nl port 443 (#0)
*   Trying 91.224.164.224... connected
* Connected to www.profcoach.nl (91.224.164.224) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

    当我查看证书本身时,我看到:

    $ openssl s_client -connect www.profcoach.nl:443 | openssl x509 -noout -subject
depth=1 /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Domain Validation CA - G2
verify error:num=20:unable to get local issuer certificate
verify return:0
subject= /OU=Domain Control Validated/CN=*.profcoach.nl

    所以 Common Name 应该适用于 www.profcoach.nl。

    您是否按照证书颁发机构的说明安装任何中间证书?

    https://www.globalsign.com/support/intermediate-root-install.php

    他们似乎在侧栏上有 IIS 的安装说明。

    哦,我刚刚意识到 Globalsign 是去年伊朗黑客的目标 ( http://www.theregister.co.uk/2011/09/07/globalsign_suspends_ssl_cert_biz/ )。他们有可能取消了旧的中间证书,您需要确保安装了他们当前的证书,因此 Mac 上的混乱可能与此有关。我会在这个问题上联系他们的支持以获得澄清。

    更新

    使用位于https://www.globalsign.com/support/intermediate/domain_bundle2011.php的包。我将该包放入一个文件foo.crt中,并正确运行curl -Iv --cacert foo.crt https://www.profcoach.nl验证:

    $ curl -Iv --cacert foo.crt https://www.profcoach.nl
* About to connect() to www.profcoach.nl port 443 (#0)
*   Trying 91.224.164.224... connected
* Connected to www.profcoach.nl (91.224.164.224) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: foo.crt
  CApath: none
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using AES128-SHA
* Server certificate:
*    subject: OU=Domain Control Validated; CN=*.profcoach.nl
*    start date: 2012-07-05 14:59:04 GMT
*    expire date: 2013-07-06 14:59:04 GMT
*    subjectAltName: www.profcoach.nl matched
*    issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign Domain Validation CA - G2
*    SSL certificate verify ok.
    • 3
  2. Best Answer

    问题似乎是证书密钥的长度。它是 8k,在使用 2k 密钥大小重新颁发证书后,它就像一个魅力。

    很奇怪只有MacOS上的Safari有这个问题!

    • 0

相关问题