ssl证书链答案

【问题标题】：ssl certificate chainssl证书链
【发布时间】：2012-02-02 14:12:41
【问题描述】：

我有一个 Windows 2008 服务器和一个 comodo 通配符证书。我还有几个在此证书下运行的应用程序。应用程序和证书工作正常且已正确安装。

我有一个来自 telit 的 gprs 模块，在没有 ssl 的情况下可以正常工作，但是当启用 ssl 时它仍然可以工作，它需要 45 秒的握手来验证服务器认证。延迟肯定来自握手，因为稍后的通信足够快。

我正在寻找可能的问题很长一段时间。我倾向于相信认证链的验证速度很慢。

我怎样才能减少这个时间？您对可能的错误或设置问题有任何其他想法吗？

【问题讨论】：

【解决方案1】：

可能发生的情况是您尚未在服务器上的链中安装中间证书。这会导致服务器不将这些发送给客户端，而客户端需要自己获取它们，从而导致延迟。确保证书链中的所有证书（根证书除外）都存在于本地计算机中间 CA 存储中。

您可以使用 Wireshark 或类似工具查看网络流量并查看从服务器发送到客户端的证书。如果你能捕捉到客户端网络流量，你就可以看到我上面的理论是否正确，以及是什么导致了延迟。

【讨论】：

comodo 提供了一个捆绑文件，用于安装证书、3 个中间证书和根证书。我用过这个文件。你说的延迟是有道理的，所以我会再看一遍。也欢迎任何其他想法！！！
不幸的是证书链是正确的！我又检查了一遍。还有其他想法吗？
您是否看到来自客户端的任何其他流量？ 45 秒用在了哪里？您可以查看客户端和服务器之间发送数据包的时间。
使用 Wireshark 工具后，我发现以下两个数据包之间出现延迟：1）“Server Hello，Certificate，Server hello done”和 2）“Client key exchange, Change cipher spec, encrypted握手消息”。 gprs 设备使用服务器的公钥创建交换密钥需要 40 秒是否正常？
如果设备是非常低功率的计算机，执行公钥操作可能需要一段时间。我不确定设备中的处理器是什么以及预期什么，但如果这是底线问题，我不会感到惊讶。