带有 UCC 证书和多个 SAN 的 SSL 证书警告

带有 UCC 证书和多个 SAN 的 SSL 证书警告

我正在与一位客户合作,他想为他网站上的几个页面安装 SSL 安全性。他使用 GoDaddy 的共享主机,我们正在处理的当前网站位于主主机帐户的子域上:

例子:

(Primary) www.coolsite.com
    (New one) www.completelydifferent.com
    www.someothersubdomain.com
    www.anotherone.com

当他购买 SSL 证书时,他为主要域名 (www.coolsite.com) 购买了它,尽管新域名 (www.completelydifferent.com) 需要安全性。这不是一个大问题,因为我能够添加一个主题备用名称添加到证书以包含新域名。我用 SSL 检查器检查了这两个网站,它们似乎都运行正常。

但是,我在尝试使用 SSL 时遇到了问题。我已将所有对注册页面的引用链接到绝对 URL (https://www.completelydifferent.com/register.php),但是当我测试该链接以验证安全性时,出现了以下错误:

This is probably not the site you are looking for!

You attempted to reach completelydifferent.com, but instead you actually reached a server
identifying itself as www.coolsite.com.

This may be caused by a misconfiguration on the server or by something more
serious. An attacker on your network could be trying to get you to visit a fake
(and potentially harmful) version of amazon.com. You should not proceed.

我不知道为什么我会收到此错误,因为我添加了其他主题备用名称,所以我不知道该怎么做才能解决这个问题。不过,我知道,用户可能会被这个看起来很吓人的红色屏幕吓跑,警告他们存在安全漏洞。

有没有办法做到这一点而不需要他购买另一个 SSL 证书?

编辑:这是 GoDaddy 门户的屏幕截图,显示了 SSL 证书。顶部的两个模糊 URL 是主域,底部的 SAN 是我想要使用 SSL 的域。

在此处输入图片描述

答案1

在向证书添加主体备用名称时,适用与通用名称相同的规则。满的正在使用的域名必须确切地其中之一。

在您的例子中,您使用的是域www.completelydifferent.com,但单个 SAN 仅作为 给出completelydifferent.com。这还不够接近,会导致您看到的浏览器警告。令人困惑的是,浏览器警告(我认为这对所有浏览器都一样)将在警告中显示证书的 CN 而不是 SAN,因此给人的印象是 SAN 未被正确读取。

同样有用:openssl是 openssl 库函数的命令行界面,可用于验证证书:openssl x509 -in <cert file> -text将向您显示证书文件的全文。(某些证书在文件中包含此文本)

答案2

如果您购买了 UCC,则有一个主 fqdn,然后是 4 个或更多 fqdn。
但是,主 id 始终是主 fqdn。这就是它仅适用于 UC 的原因。

相关内容