SPA112:BE-SPA-SSL证书识别问题

下载选项

  • PDF     (470.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (413.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (181.2 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 12 月 12 日
文档 ID:SMB5751

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

SPA112:BE-SPA-SSL证书识别问题

确定日期

2017年1月30日

解决日期

不适用

受影响的产品

型号

固件版本

SPA112

1.4.2

问题说明

从SPA收到的请求不支持服务器名称指示(SNI)。 如果在传输层安全阶段没有名称指示SNI支持,客户端Hello将不包含服务器名称信息。

在以下图像中,您拥有服务器在以下情况下收到的TLS CLIENT Hello消息的截图:

1.不支持SNI(从SPA接收请求)

注意:在这种情况下,握手协议客户端Hello中没有server_name扩展。

2.支持SNI(通过浏览器发出的请求)

注意:在这种情况下,server_name扩展出现在握手协议客户端Hello中。

解决后,请求将转发到默认虚拟主机,该虚拟主机具有不同的证书,由不同的CA签名。这是协商阶段发生未知CA错误的地方。结果不同,具体取决于请求是否包含server_name信息:

1.如果没有SNI(从SPA接收的请求),证书包含错误的证书。

2.支持SNI(从浏览器接收请求),服务器Hello,证书包含正确的证书。

当前状态

支持SNI的增强请求已向CDETS ID提交:CSCve12309。

 

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品