SSL 证书升级导致问题

Question

我们正在与远程服务器对话以验证用户身份。 Web 服务器使用由 Verisign 签名的 SSL 证书。数据通过 HTTP 进行交换，并且我们已将 ThreadSafeClientConnManager 配置为使用 JVM 默认 SSL 工厂：

SchemeRegistry schemeRegistry = new SchemeRegistry();
schemeRegistry.register(new Scheme("http", PlainSocketFactory
                .getSocketFactory(), 80));
schemeRegistry.register(new Scheme("https", SSLSocketFactory
                .getSocketFactory(), 443));
ClientConnectionManager manager = new ThreadSafeClientConnManager(
                sDefaultHttpParams, schemeRegistry);

最近，Web 服务器更新了其 SSL 证书，这导致我们的应用程序崩溃。我们可以做什么来避免这个问题呢？

请帮忙。

Answer 1

您实际上无法采取任何措施来“避免”该问题，因为它并不是真正的问题，它是 SSL 证书和权威信任的核心“功能”。

这是一个相当广泛的问题，更多细节可以帮助查明确切的问题，但这里是首先要检查的两件事。

1. 他们升级 SSL 证书以使用哪个 CA？是自签名的吗？
   如果站点已升级为使用使用非标准根证书颁发机构的 SSL 证书，则您需要使用 keytool 导入特定的 SSL 证书，以告诉本地 JVM 该证书是可信的。如果他们使用新的证书颁发机构（并且您的组织信任该根证书颁发机构），那么您可能需要导入新的根证书颁发机构，默认情况下支持大多数专业，但我有时被迫导入新的证书颁发机构。

http://download.oracle.com/javase/1.4 .2/docs/tooldocs/windows/keytool.html

1. 确保他们的证书正确链接。我见过的第二个最常见的问题是站点管理员的证书链（安装）。不幸的是，IE/Mozilla/Java...都使用不同的验证机制来确保 SSL 证书“有效”，而且我发现许多站点管理员不知道如何将证书正确链接到其站点上适当的根权限。您应该在浏览器中打开证书（我会在多个浏览器中打开它）并检查信任链，以确保证书链从站点一直返回到预期的根 CA。 （这也是您检查 #1 的根 CA 的方法）。如果它没有信任链，那么 JVM SSL 验证将失败（而我已经看到 Internet Explorer 在旧版本的 IE 中将非链式证书称为“有效”）。