我在我的 tomcat 服务器上安装了一个新的签名证书(SHA256 而不是 SHA1)。我像旧的一样初始化了一个新的 keystore 。但此后我无法通过 Internet Explorer 连接到我的站点。 (这是一个 Intranet 站点,未选中 Intranet 站点的兼容方式)IE 在 ~200 毫秒后中止了站点请求,并且在开发人员控制台中没有显示任何错误输出/调试消息。
链中的所有根证书和中间证书都安装在“windows 证书库”中。
在 Chrome/Firefox 中一切正常,证书链有效。
这是我的 tomcat 配置,但它没有改变(我知道这不是使用带有默认密码的 keystore 的最佳方式)。 服务器.xml:
...
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
URIEncoding="UTF-8"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
...
PS:如果我回到旧的 keystore ,一切正常,IE 会显示“证书已撤销”输出。
Edit1:我在系统日志中找到了相关条目
Protocolname: System
Source: Schannel
Entry-ID: 36887
It has received a serious warning: 80.
Edit2:时间服务器配置不正确,但问题仍然存在。
编辑 3: 系统信息
Java: 1.6.0
Tomcat: 6.0.41.0
OS: SLES 11 SP 3
编辑4: 我使用了工具 sslscan检查网络服务器,我想问题是匹配的 chipersuite
Prefered Server Cipher(s):
TLSv1 128 bits DHE-RSA-AES128-SHA
最佳答案
在我发现我的服务器只提供了一个 SHA128 (DHE-RSA-AES128-SHA) 的 chiper 套件之后。
解决方案:
要为 SHA256 添加 ChiperSuits,您必须安装其他策略文件。 对于 IBM Java 安装扩展 unrestrictedpolicyfiles
对于 Sun/Oracle Java 版本,请使用 JCE Unlimited Strength Jurisdiction Policy
重启服务器后一切正常。
关于internet-explorer - Internet Explorer HTTPS 请求中止?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31802153/