当我们在内网的服务器上部署SSL证书,并且外网无法访问到的情况下,无法通过在线“SSL服务器证书安装检查器”来检测这台服务器上的证书是否安装成功,这个时候我们应该怎么办呢?以下我们将提供两种解决办法。
1.在内部Linux服务器上检测
在已经安装了Apache和Nginx的服务器上,我们可以直接用Openssl工具快速检测,使用如下命令:
例如,服务器IP地址为192.168.0.100,端口号为443,服务器域名为example.com,则命令为:
当服务器证书已经安装安装成功,会显示已经连接,并出现证书的信息
在这里我们要特别注意观察“Certificate Chain”这部分的信息,正常的情况,应该显示2条信息: 0号 证书、1 号证书。其中0号是服务器证书,1号是中间证书,如下图;请仔细观察画圈的2个部分,0号证书的“i”(签发者)中的CN名称,应该和1号证书的“s”(证书主题)中的CN名称是一样的。如果以上都无误,说明服务器上的SSL证书已经安装成功了。
2.在内部Windows主机或服务器上检测
如果我们在内网的Windows主机或者服务器上要检测内网的服务器,可以先下载一个Digicert的官方工具:
打开下载的压缩包,解压Digicertutil.exe文件,然后直接双击运行:
点击“Tools”--“Check Install”:
“Server Address:”这里请输入内网服务器的IP地址。“Port Number:”这里请输入安装SSL证书的端口号,缺省是443,也可以改成8443、7443等其他的端口。
“SSL/TLS Mode:”这里请选择缺省“Auto determine by port number”。
最后点击“Query Server”:
请先检查一下第一张证书中域名(CN),单位名称(O)是否正确,然后看一下证书的有效期是否正确。
然后,请检查第一张证书中“Issuer”中的CN字段和第二张证书中“Subject”中的CN字段是否一致,如果是一致,说明证书已经安装成功了。
3.总结
如果以上检查结果存在问题,说明服务器上的证书配置没有成功,请检查服务器的设置。
如果以上检查结果正常,但访问仍然有问题,可能需要考虑以下几个方面:
- 网络中是否存在WAF等安全设备,如果有,在这类设备上是否已经成功地部署了证书?
- 外网的端口映射或者防火墙是否已经配置完成,是否已经将内网服务器端口指向了外部IP提供服务。
- 内网是否和外网物理隔离,或者内网的主机都无法访问外网的80端口,这会影响内部主机访问OCSP和CRL,造成SSL验证出现问题。
最新修订日期:2023年11月30日