SSL證書升級引起的問題

Question

我們正在與遠程服務器進行身份驗證。 Web服務器使用由Verisign簽名的SSL證書。 數據是通過HTTP交換的，我們已經將ThreadSafeClientConnManager配置為使用JVM默認的SSL工廠：

SchemeRegistry schemeRegistry = new SchemeRegistry();
schemeRegistry.register(new Scheme("http", PlainSocketFactory
                .getSocketFactory(), 80));
schemeRegistry.register(new Scheme("https", SSLSocketFactory
                .getSocketFactory(), 443));
ClientConnectionManager manager = new ThreadSafeClientConnManager(
                sDefaultHttpParams, schemeRegistry);

最近，Web服務器更新了其SSL證書，這導致我們的應用程序損壞。 我們怎樣做才能避免這個問題？

請幫忙。

Answer 1

您真的無法采取任何措施來“避免”該問題，因為這並不是真正的問題，它是SSL證書和授權信任的核心“功能”。

這是一個相當廣泛的問題，更多細節可以幫助您找到確切的問題，但這是需要檢查的前兩件事。

1. 他們升級了哪個CA來使用SSL證書？ 它是自簽名的嗎？
   如果站點已升級為使用使用非標准根證書頒發機構的SSL證書，則您需要使用keytool導入特定的SSL證書，以告知本地JVM該證書是受信任的。 如果他們使用新的證書頒發機構（並且您的組織信任該根證書頒發機構），那么您可能需要導入新的根證書頒發機構，默認情況下大多數專業都受支持，但是有時我不得不被迫導入新證書。

http://download.oracle.com/javase/1.4.2/docs/tooldocs/windows/keytool.html

1. 確保其證書正確鏈接。 我看到的第二個最常見的問題是站點管理員的證書鏈接（安裝）。 不幸的是，IE / Mozilla / Java ...都使用不同的驗證機制來確保SSL證書“有效”，而且我發現許多站點管理員不知道如何將證書正確鏈接到其站點上的相應根權限。 您應該在瀏覽器中打開證書（我會以多種方式打開它），並檢查信任鏈，以確保從站點一直到期望的根CA的證書鏈。 （這也是檢查＃1的根CA的方式）。 如果沒有信任鏈，則JVM SSL驗證將失敗（而我已經看到Internet Explorer在較舊版本的IE中將非鏈接證書稱為“有效”）。