我已经使用 .net 应用程序部署了“旧版”xp 框,以使用 SSL 访问在 AWS 之外运行的基于 soap 的服务。
最初,我通过弹性 IP(重新静态)地址为这些服务提供服务,一切都很好。该服务(基于 Glassfish)正在正确发送证书,并且 xp 盒子是快乐的露营者并使用证书。域是 foo.bar.com,证书是 godaddy 通配符证书 *.bar.com。我使用带有“A”记录的 Route 53 区域执行此操作。 IE 能够从 xp 框连接.. 没问题.. 使用 https://foo.bar.com 连接到 Glassfish 实例.
然后我取消了 EIP 的关联,并使用 Route 53 中的 CNAME rec 设置了一个 AWS 负载均衡器,其中子域指向负载均衡器。
当我在 XP 上访问 IE 时,我发现 IE 抛出证书错误“无法建立信任”或类似的错误。当我查看 xp 盒子上的 godaddy 证书时,没有信任链。
那么 .. 世界上有什么会导致旧版本的 XP 仅通过将 DNS 名称指向负载均衡器而不是静态 IP 来失去信任链。
我确实在负载均衡器中安装了与在 Glassfish 中安装的相同的证书,并在不相关的机器上使用 Win 7 和 IE 验证了两者的信任链和证书相同。
最佳答案
问题可能是您没有在 ELB 上安装中间证书。
将证书+私钥添加到 ELB 时,您会看到另一个名为“证书链”的文本框。 如果您有多个中间证书,则必须将它们全部附加到那里。订单很重要!
关于ssl - AWS EIP To Load balancer 混淆了 XP 上的证书存储,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26394785/