我们的一个网站遇到了这个问题。我最近购买并更新了 SSL 证书,安装在运行 IIS 6.0 的服务器上:
现在,每次有人访问我们的网站时,我们都会收到这个(典型的)错误:
但是,当您单击证书本身时,它会显示它是有效的:
我在这里不知所措。我在 IE、Firefox 和 Chrome 中测试了它,结果相同。顺便说一句,SSL 证书已颁发到正确的地址。有什么想法吗?
答案1
屏幕截图中的错误并不表示证书本身无效、无法验证或安装错误,而是 URI 的主机部分(例如 DNS 名称或 IP 地址,如果输入了 IP 地址来访问网站)与证书中的主题 CN(规范名称)或 SAN(主题备用名称)不匹配。可惜的是,您已经忽略了所有有助于找出您的情况中发生这种情况的原因的信息,但用一般术语来解释很容易。
如果证书是为 颁发的www.example.tld,并且使用 访问网站https://example.tld,则该证书将无法验证。反之亦然:如果证书是为 颁发的example.tld,则在出示 进行验证时,该证书将无法验证https://www.example.tld。
解决此问题的一个解决方案是使用 SAN 字段。这允许您指定证书有效的多个名称,以便您可以为每个指定的域和子域提供该名称。但是,如果证书中未提及该名称(或者用户代理严重过时且不理解 SAN),则证书无效。
通配符证书是解决此问题的第二种方法。它们将验证域的所有子域。例如,、www.example.com和example.com都可以有效地出示主题 CN 为且 SAN 为 的mail.example.com证书。example.com*.example.com
网站的 IP 地址也可以是证书的主题 CN 或 SAN,这样即使使用 之类的方式访问网站,您的 SSL 证书仍然有效https://192.0.2.1/。提供商很少会这样做,除非在相应的 RIR 记录或至少 WHOIS 记录中将 IP 地址记录为分配给您或您的组织(而不是您的 ISP),否则没有提供商会这样做。
其中一个原因就是您出示的证书不正确。