Internet Explorerは、信頼できないSSL証明書を持つサイトへの接続を拒否します
IEは奇妙な振る舞いを示し始めました。アクセスにHTTPSを使用するように構成されているが、信頼されていない/自己署名された証明書を持つイントラネットノード(ルーター)がいくつかあります。最近の特定できない時点で、これらのデバイスへの接続に問題はありませんでした。それはもはや真実ではありません。接続しようとして、オプション3(「とにかくサイトに接続する」)を選択すると、IEはすぐに「接続が利用できません」画面に戻ります。これはIE8で発生し、現在は(ugh) ie9。
Firefoxはこれらの場所への接続に問題はありません。これは、TCPスタックの問題ではないことを示しています。GoogleChromeは接続に失敗しますが、Google Chromeは多くのことで失敗します。
信頼できるサイトとして追加してみました。変わりはない。
明らかに、いくつかのあいまいな設定があるか、MSが物事を壊すパッチを出しました。何か案は?
この問題は、ごく最近のmsアップデートが原因で発生します:kb2585542
更新の一部をオフにできるms12-006に関連付けられた修正があります。問題は http://support.Microsoft.com/kb/2643584 で説明されています
具体的には、Microsoft Fix it50824を適用する必要があります。次に、更新する必要があります。つまり、ssl3とtls1.2のみを使用するようにします。これにより、システムの問題が修正されました。
これらのサーバーが数台以上ある場合は、内部の認証局を少し持つ価値があります。
- 小さなCA、特に独自のCA証明書とその秘密鍵を作成します。
- 内部サーバーごとにこのCAを使用して証明書を発行します(そしてそのサーバー内にセットアップします)。
- イントラネットマシンに信頼できる証明書としてCA証明書をインポートしました。
これにより、イントラネットに新しいサーバーを追加するたびに例外を処理する必要がなくなります。これに慣れていない場合は、少し面倒かもしれませんが、それを行うためのクリーンな方法です。
CAの設定に役立つツールがあります。サイズによっては、 Tiny CA のようなもので十分な場合があります。この質問への回答で他の提案を見つけることができます: https://security.stackexchange.com/q/7030/2435
発行する証明書のホスト名がサブジェクト代替名DNSエントリにあり、(念のため)サブジェクト識別名のCNRDNにあることを確認してください。
ブラウザの証明書セクションを確認してください。これらのデバイスからの証明書がある場合は、それらを削除し、ブラウザのキャッシュをクリアして、ブラウザを再起動します。
私のHPILOは、自己署名証明書を使用してこれを行うことがあります。証明書を受け入れるとインストールされますが、次に接続するときに何らかの理由ですべてが混乱します。少なくともFFとIEは混乱するために使用されます。