Ошибка сертификата на ПК компании - Работает на частном ПК

1

Мы используем сторонний веб-сервис, но мы хотим получить доступ к их веб-сайту с другим веб-адресом. Но проблема, когда мы заходим на этот сайт с компьютера нашей компании, мы часто получаем сообщение об ошибке сертификата (см. Прикрепленные снимки экрана), а иногда это работает, редко.

Он отлично работает для сторонней компании и пока на моем частном ПК дома.

Мы все еще находимся на Windows 7 с IE 11, Chrome (v.60) и Firefox (v.55), а дома я использую Windows 10.

Устраните неполадки до сих пор:

  • У нас нет локального DNS-кэша на нашем ПК, и я очистил кэш на наших DNS-серверах, но это не помогло.
  • Очистил куки и сбросил IE, Chrome & Firefox
  • Обновлены W7 & DNS-серверы до последних патчей

Сообщения об ошибках

Хром Fire Fox

google-chrome  firefox  internet-explorer  ssl  certificate 
MrPew
источник
Самое простое решение: установите сертификат для хранилища сертификатов на рабочем компьютере, а в Firefox сам сертификат явно не на 100% корректен из-за получаемой вами ошибки, но не означает, что ему нельзя доверять
Ramhound
1
Это необычно для сертификата, который будет назначен корневому домену И
субдомену подстановочного знака
Было бы полезно увидеть оба сертификата: тот, который вы получаете дома, и тот, который вы получаете на работе, когда он выходит из строя. Похоже, что у них неправильный сертификат установлен на одном узле CDN или одном компьютере в пуле с балансировкой нагрузки.
Spiff
@Spiff, Firefox говорит, что веб-сайт не предоставляет информацию о владельце ( 1drv.ms/i/s!AolwST7Omf2r1xU7mWSrbuCspOro ) и что запрашиваемая доза домена не соответствует сертификату сервера ( 1drv.ms/i/s!AolwST7Omf2r1xY1JWsG ) ,
MrPew
1
Извини, я не понял. Мне не нужно видеть снимки экрана с сообщениями об ошибках различных браузеров, я надеялся, что вы сможете собрать и опубликовать действительные двоичные данные сертификата (возможно, base64, закодированные как обычно), чтобы я мог запустить свои собственные инструменты для сравнения «работающих» и "провальные" сертификаты.
Spiff

Ответы:

1

Оказалось, что наши локальные DNS-серверы имели старую DNS-запись, которая делала это странное поведение. Я удалил некоторые старые записи DNS нашей третьей стороне (Freshdesk), и с тех пор это работало.

Я благодарю вас всех за вашу поддержку в этом!

MrPew
источник
0

Редактировать : Ага! Похоже, что установка SSL-сертификатов является частью предлагаемой ими службы, если у вас достаточно хороший план .

В нашей компании были случаи, когда у нас были веб-сайты, настроенные на использование официального сертификата для внешнего трафика (общедоступного), а затем, для внутренних пользователей, другого DNS-адреса. В этом случае сервер был настроен для обслуживания этих внутренних запросов с использованием самозаверяющего сертификата. Это сработало, потому что мы смогли получить эти сертификаты и добавить их в Firefox / Chrome, чтобы им доверяли.

В вашем случае вы пытаетесь получить доступ к сайту под другим DNS-именем аналогичным образом, но вы все равно получаете тот же сертификат. Домены, указанные в сертификате , никогда не будут совпадать, и вы не можете переопределить это. Вы бы либо должны ...

  • попросите Freshdesk добавить свой собственный домен в свой сертификат и получить новый (что они вряд ли будут делать, поскольку это будет стоить им денег)
  • попросите Freshdesk определить, когда ваши запросы поступают в службу поддержки. ****. se и использовать другой сертификат, например самоподписанный (также маловероятно, поскольку это может потребовать значительных изменений конфигурации на их конце)
  • попросите свою ИТ-команду настроить прокси-сервер MITM, чтобы внутренние запросы в службу поддержки. ****. se были прозрачно переведены на любой DNS для freshdesk.com, а затем повторно подписали его с помощью сертификата компании. Это, вероятно, ваш лучший выбор.
BoffinbraiN
источник
Спасибо за ваш ответ! Первое: это то, что они уже сделали, и я сделал записи CNAME на наших локальных DNS-серверах и на нашем внешнем DNS (сторонний).
MrPew
Второе: я попрошу их сделать это, если это не решится в ближайшее время.
MrPew
Третье: я хотел бы избежать использования прокси-сервера по нескольким причинам, и одна из них заключается в том, что мы не используем один из них сегодня.
MrPew
Правильно! Я не заглядывал на сайт фактического поставщика услуг раньше, но похоже, что они могут приспособиться к таким вещам. Я обновил свой ответ.
BoffinbraiN
0

Как вы упомянули, компания ПК и большинство компаний имеют контроллер домена.

Я также столкнулся с той же проблемой, и она была устранена путем удаления ПК из домена.

Выполните следующие шаги один раз, если другие решения не работают время от времени.

  1. Создайте профиль рабочего стола в качестве администратора и измените пароль, если вы используете LDAP.
  2. Войдите в профиль администратора рабочего стола и удалите компьютер из домена.
  3. После перезагрузки ПК / ноутбука скорректируйте данные и время соответствующим образом и выполните тест.
shajji05
источник
Что касается вопроса о сертификатах, ничто не мешает рабочей станции-члену домена работать таким же образом, как и не доменный компьютер. Удаление компьютера перед доменом, несомненно, создаст еще много проблем, которые он решит.
Twisty Impersonator
@TwistyImpersonator. согласен с этим .. но решения отличаются в зависимости от настройки ..
shajji05
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.