我们收到来自 Apple 的消息,通知有关 CA 证书,旧的 GeoTrust Global CA 根证书将由 AAACertificateServices 5/12/2020 替换。我正在检查我的 App Engine 设置,但没有找到任何配置根证书的方法,所以我想 Google 会管理这些证书。我说得对吗?
"On March 29, 2021, token and certificate-based HTTP/2 connections to the Apple Push Notification service must incorporate the new root certificate (AAACertificateServices 5/12/2020) which replaces the old GeoTrust Global CA root certificate. To ensure a seamless transition and to avoid push notification delivery failures, verify that both the old and new root certificates for the HTTP/2 interface are included in the Trust Store of each of your notification servers before March 29. If your provider server runs macOS, the GeoTrust Global CA root certificate is in the keychain by default. If your provider server runs macOS 10.14 or later, the AAA Certificate Services root certificate is in the keychain by default. On other systems, you might need to install this certificate yourself. You can download the GeoTrust Global CA root certificate from the GeoTrust Root Certificates website. You can download the “AAACertificateServices 5/12/2020” certificate from the Sectigo KnowledgeBase website."
致以诚挚的问候
最佳答案
我的理解是 Google 管理根证书,除非您的 App 引擎应用正在使用自定义域(即不在 *.appspot.com 上提供服务)并且您没有为此自定义使用 Google 管理的证书域。
我仍然希望能够正式检查在过渡期间一切是否正常,但我没有找到如何这样做的方法。查看 *.appspot.com 的根证书会显示一个 Global Sign 根证书,而不是 Apple 的 APN 服务器当前依赖的遗留 GeoTrust 证书。但由于 *.appspot.com 目前正确连接到 Apple 的 APN 服务器,我猜这里存在跨证书颁发机构的交叉签名或相互认可的问题。
我还希望 Apple 的沙盒 APN 服务器比生产更早过渡,以便开发人员首先在他们的测试环境中看到失败,但我没有看到 Apple 就此传达任何细节。
总的来说,我并不担心,因为我知道这是 Apple 最终迁移到一个被广泛认可的根证书,而当前的根证书已经被许多组织认为是不安全的。这也意味着我们非常幸运,直到今天连接到 APNs 一直与 App Engine 开箱即用(并希望这将持续到三月底!)
关于google-app-engine - 为 APNS 安装根证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66152614/