Feb 7th, 2012, 15:31 | #1 |
Senior Member
注册日期: Sep 2009
帖子: 477
积分:3
精华:1
|
网页数字证书问题
如图: 当打开此网页时某些用户总是有如下图所示的数字证书出错信息: 数字证书的详细情况如下: 而有的用户打开这个网页时没有错误,于是把该电脑上的根数字证书 GTE CyberTrust Global Root 输出移植到出错的电脑,但是报错信息仍然存在。 另外尝试了很多办法都没有把报错信息去掉。请大侠们支招。 |
|
Feb 7th, 2012, 18:08 | 只看该作者 #3 |
Senior Member
注册日期: Sep 2009
帖子: 477
积分:3
精华:1
声望: 1412378
|
I am not working for USPS. I called them, and one lady who claimed she is working as the website tech support told me that I need to lower down the IE security settings or add this website to the Trusted Zone. Even I did this on a test machine, I couldn't get rid of the error message. |
|
Feb 7th, 2012, 22:04 | 只看该作者 #5 |
Senior Member
注册日期: Sep 2006
帖子: 1,264
积分:1
精华:1
声望: 515313
|
You need to export "GTE CyberTrust Global Root" into a .cer file and import it into other machine's "Trusted Root Certification Authorities". Also be aware that web browsers like Firefox and Opera has their own root certification store and they have to be imported manually.
|
|
感谢 dpff 此篇文章之用户: |
wstl (Feb 8th, 2012) |
Feb 22nd, 2012, 11:49 | 只看该作者 #8 |
Senior Member
注册日期: Sep 2009
帖子: 477
积分:3
精华:1
声望: 1412378
|
再次更新一下这一问题的新发现。 现在发现这一问题不是Windows UPdate造成的,但是找到了解决的办法: 1.把电脑从domain中换到workgroup中。 2.重启电脑,用本地管理员登录。 3.打开IE, 打开www.usps.com网页,这时不会出现如图所示的错误信息。 4. 再次将电脑加入Domain, 问题就解决了。 曾经试过省略步骤3,结果问题还是存在,说明步骤3很关键,但不知道为什么。 希望高人指点。 |
|
Feb 24th, 2012, 14:33 | 只看该作者 #9 | |
Senior Member
注册日期: Jan 2011
帖子: 3,327
声望: 1615603
|
引用:
辅助的DC上的时间源一般指到主DC,主dc的时间源指到internet上的一个时间源。看你的时间同步是怎么设置的。好多地方的dc的时间源都指向一个外部。有可能这个外部的不工作了,过一段时间就有些不同步了(机会有1/3的外部时间源是ping不到的)。仅供参考,俺不是高人。 |
|
|
感谢 opensource 此篇文章之用户: |
wstl (Mar 1st, 2012) |
Feb 27th, 2012, 23:25 | 只看该作者 #10 | |
加东之东
注册日期: Jul 2004
帖子: 1,114
声望: 273910
|
引用:
|
|
|
感谢 wdqin 此篇文章之用户: |
wstl (Mar 1st, 2012) |
Mar 2nd, 2012, 09:03 | 只看该作者 #14 |
Senior Member
注册日期: Jan 2011
帖子: 3,327
声望: 1615603
|
我的domain windows 7没有任何问题。用WSUS,要开80、443。 问题有点清晰了,肯定是卡在一个地方了。也许你的domain win 7 firewall under control by gpo, so it is work after get out from domain. Hare u try disable firewall in domain. 再看看kb931125,对照一下要求 |
|
感谢 opensource 此篇文章之用户: |
wstl (Mar 2nd, 2012) |
Mar 2nd, 2012, 12:55 | 只看该作者 #15 | |
Senior Member
注册日期: Sep 2009
帖子: 477
积分:3
精华:1
声望: 1412378
|
引用:
WSUS是工作的,只不过根据领导的意思,我还没有正式approve最近一段时间的updates。这个问题肯定跟group policy有关,但是究竟在哪里又说不上。 用“Turn off Pop-up blocker"能够去掉图示的警告信息,这难道是最终的解决办法吗? |
|
|
Mar 2nd, 2012, 14:56 | 只看该作者 #17 |
温哥华版主
|
这个还是certificate的问题。 1. 楼主可以在这里查一下server的certificate,http://www.sslshopper.com/ssl-checke...e=www.usps.com,你会发现这个server有两个certificate,一个是server的certficiate,issuer是Akamai Subordinate CA 3,第二个chain的certficiate 是Akamai Subordinate CA 3,issuer是GTE CyberTrust Global Root,如果电脑里没有root的GTE CyberTrust Global Root和intermediate的Akamai Subordinate CA 3 的certificate,就会出错。 2. 楼主可以去这里查这个网站的ssl设置,https://www.ssllabs.com/ssldb/index.html, 你会发现http://www.upus.com会被redirect到其他serv...个问题。 不过我觉得你缺少1的certificate的可能性比较大。 |
|
|
|
感谢 Cisco 此篇文章之用户: |
wstl (Mar 2nd, 2012) |
Mar 2nd, 2012, 15:21 | 只看该作者 #18 |
Senior Member
注册日期: Jul 2008
帖子: 240
积分:9
精华:2
声望: 413080
|
楼上正解。不过我觉得缺根证书的可能性不大,很可能是中间证书没有。 我也碰到过这种情况,好像是2011年开始出现了。原因由于证书加密要求提高,很多发布证书的公司启用了新intermediate certificate authority,用于连接从根证书到新证书的中间证书,新证书都是基于这些新intermediate ca的。很多浏览器如果不升级,就没有这些intermediate ca证书,所以碰到新证书,就出错。 最根本的解决办法当时是让ups的网站管理员知道,他们的证书没有正确安装中间证书。正确的办法是在安装新证书时,要把中间证书也装到Web服务器上,形成一个证书链。只要用户一访问,不仅能根据证书链直到自己浏览器里的根证书,还能自动在浏览器里加进中间证书。以后再浏览其它没装中间证书的网站也不会有问题。 你如果无法让ups的网管解决问题,你可以用类似的办法让你的用户自己装上中间证书。你要找一个已经正确安装中间证书(akamai subordinate CA3) 的网页,让你的用户去访问一下,中间证书就自动安装了。 验证我这个办法的方法是找一台有问题的电脑,打开ups.com的网页,看看证书,是否有akamai subordinate CA3。如果没有,就说明中间证书缺失。 |
|
感谢 懒人懒 此篇文章之用户: |
wstl (Mar 2nd, 2012) |