私自身のCA(EIT-CA-G2)から署名されたSSL証明書を持つNginxサーバーがあります。https://ds-client.demo.e-it.nz
何らかの理由で私のChrome 61とSSL研究所テスターは名前の不一致について文句を言った。 Chromeはこう言いました。
NET::ERR_CERT_COMMON_NAME_INVALID
Subject: ds-client.demo.e-it.nz
Issuer: EIT CA G2 Root
Expires on: 16 Oct 2022
Current date: 12 Oct 2017
SSL研究所は次のように述べています。
SSL Report: ds-client.demo.e-it.nz (52.62.59.234)
Certificate name mismatch
Try these other domain names (extracted from the certificates):
ds-client.demo.e-it.nz
面白いのは彼らが文句を言わなかったということです。信頼できない証明書がありますが、名前の不一致に関するものです。 Chrome証明書ストアからCAルートをインポートしたため、とにかく信頼できる必要があります。
違いが見つかりません。 URL には ds-client.e-it.co.nz が表示され、証明書には同じように表示されます。何が問題なの? ?
ちなみに、Mozilla Firefox 56は何の苦情もなくサイトを開きました(ストアにルート証明書もあります)。
サイトとCAの証明書は次のとおりです。
- http://ds-client.demo.e-it.nz/ssl/ds-client.pem.txt
- http://ds-client.demo.e-it.nz/ssl/EIT-CA-G2.pem.txt
証明書に問題がありますか?
答え1
証明書がありません。X509v3 トピック代替名拡張する。ある時点でパラダイムが変更され、CNはホスト名を解決するために使用されなくなりました。
この拡張機能を証明書に追加するために openssl 設定を変更する方法については、Google で確認できます。
答え2
お客様の証明書には次の内容があります。
CN=ds-client.demo.e-it.nz/[email protected]
私が知っている限り、そうです。
CN=ds-client.demo.e-it.nz
私にとっては、これがあなたの問題の理由です