中级ca证书是必须要和服务器证书一起配置到web容器中的。B/S 架构用户,建议只配置第一张中级CA证书,以获得最优的安全性保障。 第二张中级CA证书,仅限于应用场景较复杂,且对兼容性有高要求的环境中。
部分Web Service间通讯服务、Android app与服务器通讯,以及C/S 架构用户,为适配客户端复杂的系统及运行环境版本差异。
2、安装好了ssl证书服务器本地可以访问,外网为何访问不到?
问题原因分析:外网443端口没有开放,或者防火墙未将内网443端口发布到外网443端口
解决办法:Telnet下外网域名的443端口是否开启,从而判断是否是端口开放的问题。
本地可以访问说明证书配置正常,然后看下是否是防火墙那边没有开放端口。
3、服务器替换了最新的证书,为什么访问到的还是老证书?
问题原因分析:先查看服务器本地证书是否配置成功,然后再逐步往前的排查。
解决方法:客户端只能看到最前端设备上配置的服务器证书,查看前端设备是否配置了老证书,如CDN,安全网关,或者负载均衡设备上配置了老证书,如果配置了,那么前端设备也是需要配置新证书。
4、在Tomcat中配置服务器证书后,通过浏览器访问服务器时,提示“此网站出具的安全证书不是由受信任的证书颁发机构颁发的”错误。查看页面证书,显示一张3个月有效期的自签名证书。分析出现该问题的可能原因并列举解决该问题的解决方案。
问题原因分析:证书导入的有问题,证书配置没有生效。
解决办法:
1)证书导入的有问题,服务器证书没有导入到jks文件中。检测下jks文件是否有问题
2)证书配置没有生效,可能路径什么输入的不对导致系统自动产生了一个自签名的证书。特别注意,一般显示3个月有效期的自签名证书都是系统自带的。由上面2个问题导致的。
