内联网服务器名称和 TLS 证书

内联网服务器名称和 TLS 证书

我们公司的域中有一些开发 Web 服务器。我们的域名相当长,为了避免输入域名,我们的员工习惯于仅通过主机名而不是完全限定域名浏览我们的 Web 服务器。例如,我们有 webserver1,员工通过 https:// webserver1/ 而不是 https:// webserver1.longsubdomainname.companydomain.local/ 来访问它

过去这不是问题。我们域中的计算机上的浏览器会信任 webserver1 的证书,因为它是由我们域的证书颁发机构颁发的。最近,Chrome 开始显示证书错误页面,错误为 NET::ERR_CERT_COMMON_NAME_INVALID,据我所知,这是因为我们没有使用 FQDN,而 chrome 现在要求 CN 对应于 FQDN(请参阅下面的编辑)。Firefox 和微软浏览器仍然认为我们的配置和证书有效。

我怎样才能以最小的改动来实现这一点?我正在想象这些选择

  1. 为 FQDN 颁发新证书,并配置 Web 服务器以重定向到其 FQDN。我知道我会因为不同的(较长的)URL 而受到一些反对。
  2. 以某种方式在 Chrome 中配置永久异常(我还没有找到为该错误设置永久异常的方法)
  3. 修改我们组织的 DNS,以便 webserver1.local 指向服务器的 IP 地址并为 webserver1.local 颁发证书。

由于我不知道如何执行选项 2,我倾向于选项 3。选项 1 感觉更“按部就班”,但我希望使用较短的网址让员工满意。有什么令人信服的理由让我不应该使用选项 3?

编辑:感谢 Steffen Ullrich 的评论,我意识到我误解了这个问题。我将服务器的简称放在主题备用名称部分,证书错误就消失了。

当证书依赖于通用名称且未设置 SAN 时,Chrome 58 会开始显示证书错误。我不知道,但显然自 2000 年 5 月以来,此功能已被弃用。

相关内容