浏览器是否需要访问 Internet 才能使用 SSL 浏览内部安全站点？

Question

我有一个使用网络解决方案 SSL 证书的安全网站。可以从我公司环境中可以访问 Internet 的计算机访问该网站。 （IIS 将 http 调用重定向到 https）。我有一个处于锁定环境的浏览器，试图使用 https 访问同一个网站。锁定的环境无法访问 Internet，但端口 80 和 443 对网站的服务器开放，我验证了远程登录到端口 80 和 443 的响应。（无论如何与错误无关）。 IIS 服务器可以访问 Internet。

IE 中的响应如下所示。 IE 的问题是因为它没有 Internet 访问权限，因此无法连接到网络解决方案 (NS) 进行验证，还是因为可能缺少 NS 的根证书？ NS 是一个已知的权威，所以这不太可能。
（我正在使用 https 对 WebAPI 调用进行故障排除，以防有人认为这不是编程问题。在查看 webapi 内容之前，我必须让 IE 在同一台机器上正常工作）

Answer 1

TL;TR：通常不需要互联网访问来检查内部站点上的证书，但也有一些边缘情况。

访问具有由内部 CA 签署的证书的内部站点无需 Internet。如果内部站点具有由公共（即外部 CA）签署的证书，则在大多数情况下也不需要 Internet 访问。在这种情况下可能会放慢速度，因为它可能会尝试在线检查吊销信息，但在大多数情况下，如果它无法到达服务器进行吊销检查，它只会继续。如果证书是 EV 证书，或者浏览器配置为执行比平时更严格的吊销检查，它可能会失败。

但在您的情况下，它表明证书是由未知 CA 颁发的。这意味着您的系统上根本不知道此证书的根 CA，或者服务器未能将构建信任路径所需的中间证书发送到根 CA。在最后一种情况下，一些浏览器能够通过从 Internet 下载缺少的中间证书来解决这种损坏的配置 - 这当然需要 Internet 访问。在第一种情况下（缺少根 CA），更新根 CA 存储可以帮助 Microsoft 浏览器在可以访问 Internet 的情况下在后台执行操作。