Intereting Posts
Копировать процесс вывода нескольких строк в файл Экспортировать дисплей терминала в PDF Как вы можете перемещать файл в качестве фонового задания и удалять все остальные файлы и каталог перед ожиданием завершения задания? Открытое исходное и простое в использовании решение для Symantec Backup Exec Systemd restart, если один из процессов в группе управления не работает Bind9 – Как найти, какие программы делают поиск dns? Как восстановить только что удаленный файл заблокировать экран блокировки AND на закрывающей крышке в arch / systemd Проблема с беспроводной сетью с RTL8723 и Fedora 18: невозможно подключиться к сети, защищенной wpa2 Греп медленно выйдет после матча? проверить дубликат входа в файл Добавить путь, если в subdir создание простой команды для sudo apt-get install? «Не обычный файл» при попытке просмотреть файл .gitignore Конфигурация Sendmail с сопоставлением пользователей в Solaris

Что случилось с моим сертификатом SSL?

У меня есть сервер Nginx с сертификатом SSL, подписанный моим собственным CA (EIT-CA-G2) по адресу https://ds-client.demo.e-it.nz

По какой-то причине и мой тестер Chrome 61 и SSL Labs жалуются на несоответствие имени. Chrome говорит:

NET::ERR_CERT_COMMON_NAME_INVALID Subject: ds-client.demo.e-it.nz Issuer: EIT CA G2 Root Expires on: 16 Oct 2022 Current date: 12 Oct 2017 

в то время как SSL Labs говорит:

  SSL Report: ds-client.demo.e-it.nz (52.62.59.234) Certificate name mismatch Try these other domain names (extracted from the certificates): ds-client.demo.e-it.nz 

Интересно, что они не жалуются на ненадежный сертификат, но вместо этого на несоответствие имени. У меня есть корневой центр CA, импортированный в хранилище сертификатов Chrome, поэтому ему все равно следует доверять.

Я не вижу никакой разницы – URL говорит ds-client.e-it.co.nz, и сертификат говорит то же самое. Что не так??

Для записи Mozilla Firefox 56 открывает сайт без жалоб (также с сертификатом Root в своем магазине).

Вот сайт и сертификаты CA:

  • http://ds-client.demo.e-it.nz/ssl/ds-client.pem.txt
  • http://ds-client.demo.e-it.nz/ssl/EIT-CA-G2.pem.txt

Что случилось с сертификатом?

В вашем сертификате отсутствует расширение имени альтернативного имени объекта X509v3 . Парадигма в какой-то момент изменилась, и CN больше не используется для проверки имени хоста.

Вы можете использовать Google для материалов, как изменить конфигурацию openssl, чтобы добавить это расширение к сертификатам.

Я вижу в вашем сертификате следующее:

  CN=ds-client.demo.e-it.nz/emailAddress=hostmaster@enterpriseit.co.nz 

и насколько я знаю, это должно быть

  CN=ds-client.demo.e-it.nz 

Для меня это причина вашей проблемы