寫在Forefront Threat Management Gateway 2010 行將就木之際。

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴，公司提供的服務項目有：域名申請、網(wǎng)站空間、營銷軟件、網(wǎng)站建設、明山網(wǎng)站維護、網(wǎng)站推廣。

周六突然接到老板電話，集團大佬移動郵件又不能使用了（為什么是又，那是另外一個故事了，有機會再講）

根據(jù)預案我們做了幾件事情：

1. 測了一下自己手上的Apple訪問移動郵件都正常，大佬是一臺HUAWEI榮耀Note8
2. 找另一個使用華為的用戶也測了一下都正常
3. 查了一下TMG日志，按該用戶名搜訪問日志，在周五晚上9:38是最后一條訪問。也就是說客戶端后面再也沒有連TMG，所以當然也不會同步郵件

Failed Connection Attempt TMGServer01 6/28/2019 9:38:06 PM
Log type: Web Proxy (Reverse)
Status: 10054 An existing connection was forcibly closed by the remote host.
Rule: ActiveSync Rules 1
Source: External (114.11.111.222:40953)
Destination: Local Host (172.0.0.11:443)
Request: POST http://mail.domain.com.cn/Microsoft-Server-ActiveSync?Cmd=Ping&User=domainname%5Cusername1&DeviceId=androidc1003508868&DeviceType=Android
Filter information: Req ID: 0e8c098b; Compression: client=No, server=No, compress rate=0% decompress rate=0%
Protocol: https
User: paicdom\username1
Additional information
Client agent: Android/8.0.0-EAS-2.0
Object source: Internet (Source is the Internet. Object was added to the cache.)
Cache info: 0x8 (Request includes the AUTHORIZATION header.)
Processing time: 480093 MIME type: application/vnd.ms-sync.wbxml

4. 查了一下IIS日志，按該用戶名搜訪問日志，只找到EWS的訪問記錄，沒有ActiveSync，也是周五9點半后就沒有記錄了。

懷疑是這個用戶郵箱損壞，遂New-Moverequest遷移到其他數(shù)據(jù)庫。然而并沒有什么。。

和老板溝通，在故障前做的唯一變更就是另一個同事周五晚上替換了偵聽器上綁定的公網(wǎng)證書，但是我們自己測了Apple移動郵件還能訪問，說明證書沒什么問題。感覺這個懷疑點不成立。

又懷疑是否客戶端真的沒有連過來呢，是不是有可能被服務器拒絕了呢，所以在TMG上開啟日志debug模式，手動在瀏覽器里輸錯密碼，模擬被服務器拒絕的場景，是能看到Access Denied的記錄。所以服務器拒絕論也不成立。

接下來懷疑是否客戶端只是7層不通，還沒有到達TMG的第一條規(guī)則就被拒絕了所以查不到記錄呢，所以按照客戶端最后一次連過來的IP，用Client IP作為篩選條件，還真的查到了客戶端一直在反復和TMG服務器建立連接又正常釋放掉的記錄。嚴重懷疑是證書變更引起的故障。

遂安裝Network Monitor，通過抓包，看到TCP三次握手正常，TMG把SSL證書發(fā)送給客戶端后，客戶端返回Fin關閉該連接，果斷回滾了證書的變更，過了一會，可以看到客戶端正常連過來了。

雖然故障解決了，但是老證書還有一周就要過期了，還是得替換。

周一去到用戶現(xiàn)場，通過訪問一臺換了新證書的TMG，重現(xiàn)了這個問題，嘗試配置一個新Profile時，客戶端上看到明顯報錯——由于證書無效或不可信，無法連接到服務器。

老板說可以申請了一臺同款設備來重現(xiàn)這個問題，找遍各大電商，唯獨蘇寧還有貨而且可以×××，趕緊下單擼了一臺。

為什么一個iOS信任的證書到了HUAWEI設備上就不信任了呢。我讓替換證書的同事演示了一下證書導入的操作給我看，打開證書MMC，在Personal下右鍵導入一個pfx，然后SSL證書，中級CA證書，根CA證書全部放個人目錄下了，我直接一口老血吐了出來，再去檢查中級CA和根CA目錄，果斷中級CA目錄下沒有新證書的中級CA證書，看來原因就出在這里了。導入中級CA后，過了一段時間后，偵聽器再應用這張新的證書。證書驗證不通過的報錯沒有了。

另外還有一個插曲，HUAWEI的設備對證書校驗是有緩存的，所以服務器導入中級CA后沒有辦法馬上生效，可能要等好幾個小時，客戶端才會重新請求服務器提供新的證書鏈，如果已經(jīng)是證書無效狀態(tài)，即使服務器端已經(jīng)配置好了證書，客戶端仍需要傻等，而重啟手機能夠釋放掉這個緩存。Just 重啟 it。

度娘搜了一下中級證書頒發(fā)機構，找到一篇blog（https://xz.aliyun.com/t/2531 ）還講的蠻詳細的，里面有一句講到服務器按信任鏈的順序發(fā)送完整的證書列表。該鏈中的第一個是服務器證書，接著是頒發(fā)服務器證書的intermediate CA 的證書,然后是下一個intermediate CA 的證書......直到Root CA的證書。服務器可以不發(fā)送Root CA證書，因為在大多數(shù)情況下，瀏覽器可以從任何intermediate CA 識別Root CA。像HUAWEI這個郵件客戶端在整個SSL/TLS握手過程中執(zhí)行了較為嚴格的證書鏈校驗，需要拿到服務器證書和中級CA后，才認為服務器證書是有效的，而Apple只需要信任該證書的根CA就認為證書有效了。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

本文標題：記一次證書更換姿勢不正確導致的曲折經(jīng)歷-創(chuàng)新互聯(lián)
當前網(wǎng)址：http://chinadenli.net/article30/ddippo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站建設、網(wǎng)站設計、全網(wǎng)營銷推廣、服務器托管、網(wǎng)站建設、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)