我正在通过SSL使用来自远程服务器的Web服务。
远程服务器有一个Tomcat FE。我们让Verisign签署了远程服务器证书,证书链是:
o: remote.server.comi: VeriSign Class 3安全服务器CA-G3i: VeriSign 3级公共初级认证机构-G5
我们将此证书添加到Tomcat的密钥库中,还添加了Verisign的中间证书,其中:
o: VeriSign 3级公共初级认证机构-G5i: 第3类公共初级证书颁发机构
当我从服务器调用Web服务时,我会得到一个SSL握手异常:
找不到受信任的证书
在我的服务器JVM证书上,我有"Class 3 Public Primary Certification Authority",但没有"VeriSign Class 3 Public Primary certificate Authority-G5 certificate"
如果我将"VeriSign Class 3 Public Primary Certification Authority-G5"证书添加到jvm,那么我将停止获取异常。然而,我的理解是Tomcat应该将证书链接起来,这样当我的服务器获得远程证书时,它将看到"Class 3 Public Primary Certification Authority"作为根证书颁发机构。
为什么这里没有发生这种事?
我终于解决了这个问题
我们的服务器密钥库似乎安装了几个冗余证书。一旦我们删除了冗余证书,只剩下服务器证书和ca链证书,客户端就收到了完整的证书链,并且停止了SSL握手异常。
Verisign有一个工具帮助我解决了这个问题
https://ssl-tools.verisign.com/#certChecker