我有一个从安全的 tomcat 服务器加载的小程序,在加载小程序之前,我收到一条错误消息,指出站点证书无效并且不能用于验证该网站的身份。我不确定为什么只有在小程序开始加载时才会出现这个问题,因为 tomcat 是使用这个证书设置的,现在它说它是不可信的。如果我点击继续,小程序加载正常,但每个新会话我都会再次得到这个。
我通过将 COMODO RSA 组织验证安全服务器 CA 导入 Java 安全控制面板找到了解决方法。这确实不是我们所有用户的选择,所以我正在寻找其他方法来解决这个问题。
当我检查网站的安全报告时,它说与网站的连接是加密的。站点认证有效,认证路径状态也显示没问题。我让 tomcat 管理员将 COMODO RSA 组织验证安全服务器 CA 导入密钥库,但没有解决问题。
小程序使用有效的签名者证书进行签名,一旦用户点击继续,它就可以正常运行。
任何建议或帮助将不胜感激。至少尝试一些东西或看看其他东西会非常有帮助。
【问题讨论】:
标签: java security ssl applet tomcat7
证书错误清楚地表明颁发证书的证书颁发机构不受信任。这意味着您必须通过进入浏览器的信任库手动添加它来明确信任它。
据我所知,并非所有 COMODO 的根证书都没有内置在 Java、Chrome 甚至 Windows 等少数软件中,这与 Entrust、GeoTrust、DigiCert 或 VeriSign 等一些主要 CA 不同。
根据您提到的 CA 名称(COMODO RSA 组织验证安全服务器 CA),我只在我的 firefox 浏览器中安装了这个 CA 证书。我的 Java、Windows 和 Chrome 没有安装它。
我在我的软件中看到的唯一 COMODO 证书是这些(默认情况下):
Chrome:(58.0.3029.110)
FireFox:(53.0.3)
Windows:(10)
Java:(1.8.0_121)
注意:这些是我在默认安装中看到的。根据您的情况,这些可能会有所不同。
假设它在您的机器上也是类似的,这就是导致证书错误的原因。我猜如果你尝试在firefox中启动你的applet你可能看不到错误,因为你提到的CA名称,我在默认安装的firefox中看到它。
但是,如果您想在所有主要浏览器中克服此错误,而无需培训您的用户如何将他们添加到信任库中,或者如果您想完全避免要求您的用户执行此步骤,您可能必须选择一个默认情况下所有软件和浏览器都信任的 CA。
【讨论】: