昨天一个同事的电脑无法打开我们产品的https主页,但是能够访问其它产品的主页,但两个产品所使用的都是tomcat,和基于keytool工具生成的keystore自签名证书,后来通过比对生成证书的脚本,发现了以下问题:
我们产品生成证书的命令是这样的:
keytool -genkey -alias myspace -keyvalidity 3650 -keystore myspace.keystore -keypass 12345678 -storepass 123456 -dname "CN=myspace.com,OU=myspace,O=myspace,L=hz,ST=zj,C=ZH"
而另一个产品的命令是这样的:
keytool -genkey -alias upspace -keyalg RSA -keysize 1024 -keyvalidity 3650 -keystore upspace.com -keypass 123456 -storepass 123456 -dname "CN=upspace.com,OU=upspace,O=upspace,L=sz,ST=gd,C=ZH"
比较发现其它产品多了一个:-keyalg RSA -keysize 1024
然后在网上查到,当不指定 -keyalg 时,默认的密钥算法是DSA,默认-keysize是1024,也就是说两个证书的差别就是生成密钥的算法不一样。
由此推断,同事的电脑(win7+IE8),无法支持DSA算法生成的密钥,RSA具有更广泛的兼容性。
目前在公司内部仅发现了两台(win7+IE8)存在此问题,大部分同事对于DSA 和 RSA算法生成的证书都是能够正常访问的,Firefox则是一直都可以。
更为根本的原因还要深入地去了解一下IE不同版本所能支持的具体密钥算法(比DSA,RSA还要进一步细分),留待以后进一步探索。