我在 Windows 2016 上生成 IIS 服务器认证请求,该服务器位于 Active Directory 域中。然后在域中我有 Microsoft 认证机构,在此我从此请求生成证书,然后我导入 ISS 设置绑定,但现在当我尝试在 Chrome 中从域计算机连接到 IIS 网站时,我得到错误 NET::ERR_CERT_COMMON_NAME_INVALID。证书中的 CN 与网站相同。如果我在旧的 MS Explorer 中尝试此操作,则此连接被标记为安全。我如何才能将此证书用作完全安全的证书?
答案1
这很可能是由于您只有 CommonName (CN) 字段包含 IIS 服务器的 FQDN。现代浏览器不会检查 CN;而是在主题备用名称 (SAN) 扩展中查找 DNS 条目。这也解释了为什么旧版浏览器可以正常工作。
如果您将 FQDN 添加为 DNS SAN 条目,那么它就可以工作。