在我的一台服务器中,我导入了2个CA,它们具有相同的CN名称,在信任中具有不同的别名。
以上是必需的,因为CA的签名已更改,因此为了支持新旧设备SSL通信,我需要在我的委托中同时拥有CA
现在问题是只有旧CA的一个设备正在通过SSL通信。
当我在cacerts文件中添加CA时,我的新设备正在传递ssl通信而旧的设备正在失败(因为它没有针对其他CA验证它)。
所以现在我想知道为什么我们在信任库和cacerts文件中导入CA时有两种不同的行为。
另外,我如何处理这种情况并使其工作。 (我没有任何选项来生成具有不同CN名称的新CA,因此选项不在范围内)
我相信这是虚拟主机的情况。
你有:
有效的https://host-1.company-A.com/app-1。
现在公司-A被合并到公司-B,你仍然需要支持两者。并且您需要使用相同的Tomcat部署支持两者(最终它是相同的应用程序):
去AZ小说网POI.company-B.com/app-1
因此,您需要在同一主机上使用2个虚拟主机。每个虚拟主机都有自己的证书和别名。每个证书都有不同的CA链。
阅读更多关于https://host-1和Tomcat virtual host here的信息。
另一个更简单的选项是使用将多个域引用到单个上下文的主机别名。阅读here。