我有一个使用 Network Solutions SSL 证书的安全网站。可以从我公司环境中可以访问 Internet 的计算机访问该网站。 (IIS 将 http 调用重定向到 https)。我有一个处于锁定环境中的浏览器,试图使用 https 访问同一网站。锁定的环境无法访问 Internet,但端口 80 和 443 对网站服务器开放,我验证了远程登录到端口 80 和 443 的响应。(无论如何与错误无关)。 IIS 服务器可以访问 Internet。
IE 中的响应如下所示。
IE 问题是因为它没有 Internet 访问权限,因此无法连接到 Network Solutions (NS) 进行验证,还是因为可能缺少 NS 的根证书? NS 是一个已知的权威,所以这不太可能。
(我正在使用 https 对 WebAPI 调用进行故障排除,以防有人认为这不是编程问题。在查看 webapi 之前,我必须让 IE 在同一台机器上正常工作)
最佳答案
TL;TR:通常不需要互联网访问来检查内部站点上的证书,但也有一些边缘情况。
无需互联网即可访问具有由内部 CA 签名的证书的内部站点。如果内部站点具有由公共(public)公众(即外部 CA)签名的证书,则在大多数情况下也不需要互联网访问。在这种情况下可能会变慢,因为它可能会尝试在线检查吊销信息,但在大多数情况下,如果它无法到达服务器进行吊销检查,它只会继续。如果证书是 EV 证书,或者浏览器配置为执行比平时更严格的吊销检查,则可能会失败。
但在您的情况下,它表明证书是由未知 CA 颁发的。这意味着此证书的根 CA 在您的系统上根本不为人所知,或者服务器无法将构建信任路径所需的中间证书发送到根 CA。在最后一种情况下,一些浏览器能够通过从互联网下载丢失的中间证书来解决这种损坏的配置——当然这需要互联网访问。在第一种情况下(缺少根 CA),根 CA 存储的更新可能会有所帮助,如果 Microsoft 浏览器可以访问互联网,它们可能会在后台执行这些操作。
关于ssl - 浏览器是否需要访问 Internet 才能使用 SSL 浏览内部安全站点?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46166386/