我有一个 Nginx 服务器,带有由我自己的 CA (EIT-CA-G2) 签名的 SSL 证书,地址为https://ds-client.demo.e-it.nz
由于某种原因,我的 Chrome 61 和SSL实验室测试人员抱怨名称不匹配。铬 说:
NET::ERR_CERT_COMMON_NAME_INVALID
Subject: ds-client.demo.e-it.nz
Issuer: EIT CA G2 Root
Expires on: 16 Oct 2022
Current date: 12 Oct 2017
SSL 实验室表示:
SSL Report: ds-client.demo.e-it.nz (52.62.59.234)
Certificate name mismatch
Try these other domain names (extracted from the certificates):
ds-client.demo.e-it.nz
有趣的是他们并没有抱怨不受信任的证书,而是关于名称不匹配。我已经在 Chrome 证书商店中导入了 CA 根,所以无论如何它应该是可信的。
我看不出任何区别 - URL 上写着 ds-client.e-it.co.nz ,证书上也写着同样的内容。怎么了??
据记录,Mozilla Firefox 56 打开该网站没有任何抱怨(其商店中也有根证书)。
以下是站点和 CA 证书:
- http://ds-client.demo.e-it.nz/ssl/ds-client.pem.txt
- http://ds-client.demo.e-it.nz/ssl/EIT-CA-G2.pem.txt
证书有什么问题吗?
答案1
您的证书丢失X509v3 主题备用名称扩大。范式在某个时刻发生了变化,CN 不再用于验证主机名。
您可以在 google 上搜索如何修改 openssl 配置的材料,以便将此扩展添加到证书中。
答案2
我在你的证书中看到这样的内容:
CN=ds-client.demo.e-it.nz/[email protected]
据我所知一定是
CN=ds-client.demo.e-it.nz
对我来说,这就是你的问题的原因