¡Caminando hacia el éxito!

Aprende en Comunidad

Avalados por :

Problema de comunicación SSL con certificados GlobalSign: Cómo resolver el error en PI

  • Creado 01/03/2024
  • Modificado 01/03/2024
  • 29 Vistas
0
Cargando...

Hola.

Tengo un problema para establecer comunicación SSL con un servicio web de terceros desde PI. La cadena de certificados contiene 4 certificados, pero dos de ellos están en el mismo "nivel", y esto parece ser un problema para PI:

- *.<3rd_party_domain>.com (firmado por GlobalSign Organization Validation CA - G2)

- GlobalSign Domain Validation CA - G2 (firmado por GlobalSign Root CA)

- GlobalSign Organization Validation CA - G2 (firmado por GlobalSign Root CA)

- GlobalSign Root CA

Cuando abro el certificado en Windows IE, solo se muestran tres certificados. El certificado de Dominio es ignorado.

Intenté hacer una solicitud al servicio web desde un cliente de Windows (soapUI), y muestra 3 certificados (los tres principales, el certificado Raíz no se muestra).

En XPI Inspector obtengo lo siguiente.

¿Qué puedo hacer para que PI acepte el certificado de Dominio irrelevante?

Saludos

Rasmus

---

Se encontró una cadena de certificados con 3 elementos:

Certificado #0

SubjectDN: CN=*.<3rd_party_doman>.com,O=...<snip>..

IssuerDN: CN=GlobalSign

Organization Validation CA - G2,O=GlobalSign nv-sa,C=BE

Certificado #1

SubjectDN: CN=GlobalSign Domain Validation CA - G2,O=GlobalSign

nv-sa,C=BE

IssuerDN: CN=GlobalSign Root CA,OU=Root CA,O=GlobalSign

nv-sa,C=BE

Certificado #2

SubjectDN: CN=GlobalSign Organization Validation CA -

G2,O=GlobalSign nv-sa,C=BE

IssuerDN: CN=GlobalSign Root CA,OU=Root

CA,O=GlobalSign nv-sa,C=BE

Comenzar a analizar la cadena de certificados:

El certificado #0 fue firmado por el certificado #2

El certificado con DN = {CN=GlobalSign Domain Validation CA - G2,O=GlobalSign nv-sa,C=BE} parece estar firmado por {CN=GlobalSign Root CA,OU=Root CA,O=GlobalSign nv-sa,C=BE}, sin embargo, el certificado de firma no se proporcionó en la cadena.

El certificado con DN = {CN=GlobalSign Organization Validation CA - G2,O=GlobalSign nv-sa,C=BE} parece estar firmado por {CN=GlobalSign Root CA,OU=Root CA,O=GlobalSign nv-sa,C=BE}, sin embargo, el certificado de firma no se proporcionó en la cadena.

Finalizar el análisis de la cadena de certificados.

Comenzar IAIK

Depuración:

ssl_debug(59): Iniciando el handshake (iSaSiLk 4.1)...

ssl_debug(59): Enviando mensaje v3 client_hello, solicitando versión 3.2...

ssl_debug(59): Recibido mensaje de saludo del servidor v3.

ssl_debug(59): Servidor seleccionó la versión SSL 3.1.

ssl_debug(59): Servidor creó una nueva sesión 9B:AD:96:18:3F:47:B2:E4...

ssl_debug(59): CipherSuite seleccionado por el servidor: SSL_RSA_WITH_3DES

Pedro Pascal
Se unió el 07/03/2018
Pinterest
Telegram
Linkedin
Whatsapp

4 Respuestas

0
Cargando...

Hola Rasmus,

Sería difícil decirlo sin realizar las comprobaciones pertinentes y tener el nombre de dominio. Pero podrías utilizar herramientas como https://www.ssllabs.com/ssltest/ o http://certlogik.com/ssl-checker/

En general, los navegadores manejan los certificados de manera completamente diferente a los programas del lado del cliente, ya que el navegador intentará utilizar los certificados requeridos localmente primero. Si los certificados en cuestión no están disponibles localmente, entonces solicitará al servidor la cadena de certificados completa y esto puede causar un problema con un certificado instalado como en tu ejemplo original.

Seré honesto al decir que no estoy familiarizado con PI, pero supongo que no tiene un almacén de certificados local, por lo que lo obtendrá del servidor, así que a menos que el certificado incorrecto pueda ser ignorado o aceptado, seguirá siendo un problema.

Es probable que SSLLabs arroje un error con ese certificado de terceros con la cadena, por lo que podría valer la pena transmitir esa información a ellos, tal vez solo para que lo eliminen.

Saludos cordiales,
Rick

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

Hola Rick.

Me gustaría saber de ti (trabajando para GlobalSign) si el certificado en cuestión es realmente válido. Parece que tanto Internet Explorer como soapUI pueden manejar el certificado adicional, pero PI no puede. ¿Es PI el que no procesa correctamente la capa SSL, o es el certificado el que es inválido? El certificado está emitido por GlobalSign.

Saludos,

Rasmus

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

Hola Rick.

Sí, soy consciente de que la cadena contiene un certificado irrelevante. Sin embargo, la cadena es suministrada por el servicio web de terceros con el que estoy tratando de comunicarme, y no tengo voz en el asunto de eliminar el certificado de la cadena. No es mi certificado como se indica en tu "gráfico".

La cadena se me entrega al llamar al servicio web. El tercero también es consciente del problema, pero argumenta que aunque la cadena contiene el certificado adicional, la cadena es de hecho válida y que obtuvieron el certificado de GlobalSign. No están dispuestos a cambiar su certificado.

Internamente estamos tratando de migrar el escenario de configuración a otro sistema PI con controladores SSL más nuevos para ver si esto podría resolver el problema.

Saludos,

Rasmus

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

Hola Rasmus,

Mi nombre es Rick y trabajo para el equipo de soporte de GlobalSigns, y espero resolver tu problema.
Los errores que mencionaste tienen sentido, ya que uno de los certificados que estás utilizando no es relevante para tu uso, que es el Certificado de Validación de Dominio.

Los certificados deben coincidir en una cadena para que se muestren de la siguiente manera;

Tu Certificado Web *.<3rd_party_doman>.com

I

Certificado Intermedio GlobalSign Organización de Validación de CA - G2

I

Certificado Raíz          GlobalSign Root CA

Por lo tanto, si eliminas el Certificado Intermedio de Validación de Dominio, deberías poder usarlo.

Espero tu respuesta.

Saludos,
Rick

Equipo de Soporte de GlobalSign

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019

contacto@primeinstitute.com

(+51) 1641 9379
(+57) 1489 6964

© 2024 Copyright. Todos los derechos reservados.

Desarrollado por Prime Institute

¡Hola! Soy Diana, asesora académica de Prime Institute, indícame en que curso estas interesado, saludos!
Hola ¿Puedo ayudarte?