我颁发了 TLS 证书并使用 ext 指定了 SAN 文件的名称,但当我访问 chrome 网站时,它给出了错误,我做错了什么?网站 -https://seeklay.icu分机 -
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = tls.seeklay.icu
DNS.2 = seeklay.icu
答案1
您的证书已多份副本各种扩展,其中一些甚至具有不同的值。以下是 GnuTLScerttool -i
对此的评论:
$ certtool -i < SU1482305.crt X.509 证书信息: 版本:3 序列号(十六进制):11e2438da11b3338655874e3a4104cfaabc410e0 发行人:CN=ACA ECC ROOT G1、OU=alternativeca.us/ca/ecc/g1、O=AlternativeCA inc.、L=Phoenix、ST=Arizona、C=US 有效性: 不早于:2019 年 9 月 13 日星期五 10:54:33 UTC 不晚于:2023 年 7 月 14 日星期五 10:54:33 UTC 主题:CN=seeklay.icu,O=Internet Widgits Pty Ltd,ST=Some-State,C=US 主题公钥算法:RSA 算法安全级别:中(2048位) 模数(位 2048): 8d 指数(位 24): 扩展: 授权密钥标识符(非关键): 目录名称:CN=seeklay.icu,O=Internet Widgits Pty Ltd,ST=Some-State,C=US 序列号:13fec21b5f7198cdb35f95b455263b92078b3b24 基本约束(非关键): 证书颁发机构 (CA):FALSE 关键用途(不重要): 电子签名。 不可否认。 密钥加密。 数据加密。 主题备用名称(非关键): DNS名称:tls.seeklay.icu DNS名称:seeklay.icu 警告:多个 AKI 扩展 授权密钥标识符(非关键): 目录名称:CN=ACA ECC ROOT G1,OU=alternativeca.us/ca/ecc/g1,O=AlternativeCA inc.,L=Phoenix,ST=Arizona,C=US 序列号:5810507f10d39ff8bce24d6258e133e38a56c757 警告:多个基本约束 基本约束(非关键): 证书颁发机构 (CA):FALSE 警告:多个密钥使用扩展 关键用途(不重要): 电子签名。 不可否认。 密钥加密。 数据加密。 警告:多个 SKI 扩展 主题备用名称(非关键): DNS名称:tls.seeklay.icu DNS名称:seeklay.icu 签名算法:RSA-SHA256
如您所见,所有扩展都是重复的,并且权威密钥标识符甚至引用了两个不同的 CA 证书。