个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我有一个在 Azure 中运行的云服务(经典),它托管 WCF 服务。通过云服务的扩展功能在云服务中配置多个实例。 SSL 通配符证书已通过 Azure 门户提供,并在相应 Visual Studio Cloud 项目的 csdef/cscfg 中进行配置。直到最近,一切都运行良好,没有发生证书等问题。
.csdef
<Sites>
<Site name="Web">
<Bindings>
<Binding name="Endpoint2" endpointName="EndpointSSL" />
</Bindings>
</Site>
</Sites>
<Endpoints>
<InputEndpoint name="EndpointSSL" protocol="https" port="443" certificate="SSL" />
</Endpoints>
<Certificates>
<Certificate name="SSL" storeLocation="LocalMachine" storeName="My" />
</Certificates>
.cscfg
<Role name="FR">
<Instances count="3" />
<ConfigurationSettings>
<!-- Settings are set here -->
</ConfigurationSettings>
<Certificates>
<Certificate name="Microsoft.WindowsAzure.Plugins.RemoteAccess.PasswordEncryption" thumbprint="THUMBPRINT_A" thumbprintAlgorithm="sha1" />
<Certificate name="SSL" thumbprint="THUMBPRINT_B" thumbprintAlgorithm="sha1" />
</Certificates>
</Role>
证书已正确安装,您可以在 Windows 的证书管理窗口中看到。不幸的是,从上周开始,当通过 SSL Labs (https://www.ssllabs.com/ssltest/) 检查该网站时,它开始在结果报告中提供两个证书,其中一个证书无效,因为证书链似乎已损坏。使用相同通配符证书的其他服务不存在此问题。
到目前为止我所知道的关于这个问题的信息:
有人知道问题可能是什么吗?我还向微软发起了支持请求,但到目前为止他们也没有任何线索。部署时是否有任何我可以尝试的设置强制在部署时验证证书?或者是否有任何选项可以在启动时从代码中获取丢失的根 CA(因为我怀疑这可能是无法在一个实例上验证它的问题)?
最佳答案
Microsoft Azure 支持人员也不知道此行为的根本原因,但他们暂时提出了合适的解决方法。
在云服务中,添加了一个启动任务,用于检查所有根 CA 列表中是否存在可能丢失的根 CA。如果没有,将安装缺少的那个(通过 Powershell)。之后,丢失的根 CA 应该已添加到根 CA 列表中,并且可以成功验证实际的 SSL 通配符证书(验证失败) - 通过 SSLLabs 的检查将再次起作用。
至少对于我的问题来说,这解决了问题。我对此并不完全满意,因为我想知道根本原因,但微软似乎意识到了这个问题,并且(据我所知)正在进一步调查。如果出现任何正确的解决方案(而不是解决方法),我也会尝试将其添加到此处。
启动任务的 CMD 文件:
SET LOG_FILE="%TEMP%\StartupLog.txt"
SET EXECUTE_PS1=0
IF "%ComputeEmulatorRunning%" == "" (
SET EXECUTE_PS1=1
)
IF "%ComputeEmulatorRunning%" == "false" (
SET EXECUTE_PS1=1
)
IF %EXECUTE_PS1% EQU 1 (
echo "Invoking InstallCertificateSSLConfigure.ps1 on Azure service at %TIME% on %DATE%" >> %LOG_FILE% 2>&1
PowerShell -ExecutionPolicy Unrestricted .\Startup\InstallCertificate.ps1 >> %LOG_FILE% 2>&1
IF %ERRORLEVEL% NEQ 0 (EXIT /B %ERRORLEVEL%)
) ELSE (
echo "Skipping InstallCertificate.ps1 invocation on emulated environment" >> %LOG_FILE% 2>&1
)
EXIT /B 0
用于安装证书的 Powershell 脚本(从 CMD 执行)
$thumbprint = "THUMBPRINT"
$path = ".\Startup\MISSING ROOT CA.crt"
$cert = Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Thumbprint -eq $thumbprint}
if ( $cert )
{
Write-Host "The Certificate $($cert.Thumbprint) is installed already"
}
else
{
Write-Host "The Certificate $thumbprint is not installed"
Import-Certificate -FilePath $path -CertStoreLocation Cert:\LocalMachine\Root
Write-Host "installed the Certificate $thumbprint"
}
关于.net - Azure 云服务(经典)-单个实例缺少根 CA/SSL 证书,无法验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61659645/
25
4
0
我正在尝试在 Java 中执行此操作,但我认为这是一个一般证书问题。我有一个根CA,一个由根CA颁发的中间CA1,一个由中间CA1颁发的中间CA2,以及一个由中间CA2颁发的证书。 rootCA ->
编辑 1:https://security.stackexchange.com/questions/83972/trust-ca-and-parent-ca-but-not-other-derivat
我正在使用“任何?” block 中的方法。该片段正在字符串中查找字符串“CA”(拆分)检查: region="CA" check="AU,US,UK,CA,ZA" if check.split(',
我有一个SpringBoot应用程序,它使用以下配置与PostgreSQL通信,通过AWS Beanstrik部署:。在我将AWS Aurora证书更新为rds-ca-ecc384-g1之前,一切都很
我们正在使用我们现有的 CA 进行 freeipa 安装。在安装过程中,会生成 CSR,并且必须由 CA 签名才能创建证书。这个证书必须有 X509v3 Basic Constraints: CA:T
我正在尝试导出客户端证书以供网络浏览器使用。 目标是使用 指令限制对管理区域的访问。我看过很多关于使用自签名 CA 的教程。你会如何使用第三方来做到这一点? 1) 如果它是受信任的根 CA,我是否需要
我已经设法弄清楚 x509Certificate2Collection 中的证书是否是证书颁发机构证书,但我如何才能安全地确定它是根证书还是中间证书?以下是否足够安全? var collection
我使用 fabric-ca-sdk(fabric-sdk-java/fabric-sdk-java/src/test/fixture/sdkintegration) 中的测试代码启动 ca 服务器。并
环境: Red Hat Enterprise Linux Server release 7.7 (Maipo) # openssl version OpenSSL 1.0.2g 1 Mar 2016
导出 K8s 集群 CA 证书和 CA 私钥 团队,我有一个 Kubernetes 集群正在运行。我将一次又一次地删除和创建它,所以我想一直重复使用相同的 CA 证书,我需要保存 CA 证书和 key
我正在编写一个自定义客户端和服务器,我想通过公共(public) Internet 安全地进行通信,因此我想使用 OpenSSL 并让两端进行对等验证以确保我的客户端不会被 MITM 误导,同样,未经
问题: 我想构建一个 docker 容器 FROM:ubuntu:20.04但我无法访问外部互联网 我在内部网络上有一个 apt 镜像,可以使用 apt 镜像位于 https 后面,带有自定义证书 我
Linux 的新手,正在尝试了解更多,我遇到了这种情况。 我已经尝试使用 ps 命令并使用 grep 来捕获“ca”,但它会返回每次出现的“ca”,无论它来自什么,它实际上对我没有帮助。 我已经尝试过
我正在尝试在我的 .NET 应用程序和我安装了第三方根 CA 证书和中间 CA 证书的网站之间建立 TLS 连接: ServicePointManager.SecurityProtocol = Sec
SSL 证书永远不会让我眼花缭乱。我有一个网络应用程序,它从合作伙伴那里对另一项服务进行休息调用以获取某些数据。他们使用为公司生成的自签名或内部 CA。问题是每当另一端更新 SSL 证书时,我的应用程
我正在开发一个带有证书固定的移动应用程序。我将在 DMZ 中有一个盒子来代理我的请求。该服务器是否应该拥有来自可信 CA 的证书,还是我可以使用我自己的 CA 生成的证书? 从移动客户端使用受信任的
有没有人设法将 CA 证书安装到 activemq 实例中?我一直在进行谷歌搜索并阅读 activemq 文档,但我没有找到任何关于如何在 activemq 中使用预先存在的 CA 证书的信息。 我假
openssl ca 和 openssl x509 命令有什么区别?我正在使用它来创建和签署我的 root-ca、intermed-ca 和客户端证书,但是 openssl ca 命令不会在证书上注册
在 keystore 中创建私钥和自签名证书 keytool -genkey -alias mydomain -keystore mydomain.ks -dname cn=mydomain.com
我的 Raspberry Pi 3 出了点问题。我不得不运行 fsck.ext3,但是很多包都损坏了,例如 python 等。现在,ca-certificates 不会重新安装。每当它运行 updat
我是一名优秀的程序员,十分优秀!