То, что говорит разработчик, из описания разумно для меня, но проблема их.
Чтобы убедиться, что это именно то, что происходит, вы можете выполнить захват проволочной акулы и затем декодировать поток как SSL.Если проблема заключается в том, что клиент не доверяет сертификату, отправленному сервером, и отклоняет соединение, вы увидите его в рукопожатии в wireshark.
Если вы используете Java-клиент, вы можете запустить его с -Djavax.net.debug=ssl, чтобы увидеть ssl-сообщения изнутри Java.
Если это действительно проблема, то вы должны настроить хранилище доверенных сертификатов клиента для отправки сертификата сервером (который является оригинальным).
Если такая конфигурация возможна, конечно ... Это зависит от приложения
ОБНОВЛЕНИЕ:
Хорошо, если вы мигрировали в новый ЦС,т. е. вы развертываете новый сертификат в своем интерфейсе, а потом, извините, говорите, что это «ваше» - означает ошибку на стороне сервера.
ИМХО, если это возможно, вам следует повторно развернуть старый сертификат на заданный период, сообщиввсем заинтересованным сторонам, которые вы планируете перейти на новый сертификат, подписанный новым CA, чтобы клиенты не сломали
Тогда в течение этого периода они несут ответственность за«исправить» свои клиентские приложения, чтобы иметь возможность принять новый сертификат.Это может быть так же просто, как конфигурация, то есть импорт сертификата в склад доверенных сертификатов, или настолько «сложным», как изменить код и перестроить клиентское приложение (например, если новый выданный сертификат не имеет расширений, которые проверяется кодом, или CN изменилсятак далее).
Если невозможно повторно развернуть старый сертификат, вам просто нужно сообщить об изменении всем заинтересованным сторонам, а затем они должны соответствующим образом «исправить» его (как упомянуто выше)