我的 SSL 证书出了什么问题?

我的 SSL 证书出了什么问题?

我有一个 Nginx 服务器,带有由我自己的 CA (EIT-CA-G2) 签名的 SSL 证书,地址为https://ds-client.demo.e-it.nz

由于某种原因,我的 Chrome 61 和SSL实验室测试人员抱怨名称不匹配。铬 说:

NET::ERR_CERT_COMMON_NAME_INVALID
Subject: ds-client.demo.e-it.nz
Issuer: EIT CA G2 Root
Expires on: 16 Oct 2022
Current date: 12 Oct 2017

SSL 实验室表示:

 SSL Report: ds-client.demo.e-it.nz (52.62.59.234)
 Certificate name mismatch 
 Try these other domain names (extracted from the certificates):
 ds-client.demo.e-it.nz

有趣的是他们并没有抱怨不受信任的证书,而是关于名称不匹配。我已经在 Chrome 证书商店中导入了 CA 根,所以无论如何它应该是可信的。

我看不出任何区别 - URL 上写着 ds-client.e-it.co.nz ,证书上也写着同样的内容。怎么了??

据记录,Mozilla Firefox 56 打开该网站没有任何抱怨(其商店中也有根证书)。

以下是站点和 CA 证书:

证书有什么问题吗?

答案1

您的证书丢失X509v3 主题备用名称扩大。范式在某个时刻发生了变化,CN 不再用于验证主机名。

您可以在 google 上搜索如何修改 openssl 配置的材料,以便将此扩展添加到证书中。

答案2

我在你的证书中看到这样的内容:

 CN=ds-client.demo.e-it.nz/[email protected]

据我所知一定是

 CN=ds-client.demo.e-it.nz

对我来说,这就是你的问题的原因

相关内容