SSL 握手失败并显示“证书未知”

Question

我们有一个当前通过 HTTP 协议运行的应用程序。我们的目标是将其迁移到 HTTPS。我们已经进行了必要的更改，但在登录应用程序期间，我收到“peer not authenticated”错误消息。

我是 SSL 世界的新手，所以我用谷歌搜索并捕获了 Wireshark 跟踪，通信如下所示：

1. 客户端向服务器发送 [SYN]。
2. 服务器向客户端发送 [SYN,ACK]。
3. 客户端向服务器发送 [ACK]。
4. 客户端向服务器发送消息ClientHello。
5. 服务器发送ServerHello 然后它的证书和消息“ServerHello, Certificate, ServerHelloDone
6. 警报 61，致命级别，描述：证书未知 // 此处失败。

请就可能出现的问题分享您的意见。我们被困在这里，无法继续前进。

Answer 1

更新

这是一个奇怪的错误。 Certificate Unknown 通常应伴随 46 而不是 61 的 Alert 代码。

如果您看到，Alert Protocol (RFC 5246)

中没有提到 SSL 警报 61

  enum {
      close_notify(0),
      unexpected_message(10),
      bad_record_mac(20),
      decryption_failed_RESERVED(21),
      record_overflow(22),
      decompression_failure(30),
      handshake_failure(40),
      no_certificate_RESERVED(41),
      bad_certificate(42),
      unsupported_certificate(43),
      certificate_revoked(44),
      certificate_expired(45),
      certificate_unknown(46),
      illegal_parameter(47),
      unknown_ca(48),
      access_denied(49),
      decode_error(50),
      decrypt_error(51),
      export_restriction_RESERVED(60),
      protocol_version(70),
      insufficient_security(71),
      internal_error(80),
      user_canceled(90),
      no_renegotiation(100),
      unsupported_extension(110),
      (255)
  } AlertDescription;

不查看痕迹，很难进一步调查。

Server Hello 中提供的 Server 证书 似乎不受客户端信任。

我建议使用 cURL.exe 和 -v 选项对此进行测试。