내 자체 CA(EIT-CA-G2)에서 서명한 SSL 인증서가 있는 Nginx 서버가 있습니다.https://ds-client.demo.e-it.nz
어떤 이유에서인지 내 Chrome 61과SSL 연구소테스터는 이름 불일치에 대해 불평했습니다. 크롬은 이렇게 말했습니다.
NET::ERR_CERT_COMMON_NAME_INVALID
Subject: ds-client.demo.e-it.nz
Issuer: EIT CA G2 Root
Expires on: 16 Oct 2022
Current date: 12 Oct 2017
SSL 연구소는 다음과 같이 말합니다.
SSL Report: ds-client.demo.e-it.nz (52.62.59.234)
Certificate name mismatch
Try these other domain names (extracted from the certificates):
ds-client.demo.e-it.nz
웃긴 건 그들이 불평을 하지 않았다는 거예요신뢰할 수 없는인증서가 있지만 이름 불일치에 관한 것입니다. Chrome 인증서 저장소에서 CA 루트를 가져왔으므로 어쨌든 신뢰할 수 있어야 합니다.
차이점을 찾을 수 없습니다. URL에는 ds-client.e-it.co.nz가 표시되고 인증서에는 동일하게 표시됩니다. 뭐가 문제 야? ?
참고로 Mozilla Firefox 56은 아무런 불만 없이 사이트를 열었습니다(스토어에 루트 인증서도 있습니다).
사이트 및 CA 인증서는 다음과 같습니다.
- http://ds-client.demo.e-it.nz/ssl/ds-client.pem.txt
- http://ds-client.demo.e-it.nz/ssl/EIT-CA-G2.pem.txt
인증서에 문제가 있나요?
답변1
인증서가 누락되었습니다.X509v3 주제 대체 이름확장하다. 어느 시점에서 패러다임이 변경되었으며 CN은 더 이상 호스트 이름을 확인하는 데 사용되지 않습니다.
이 확장을 인증서에 추가하기 위해 openssl 구성을 수정하는 방법에 대한 정보는 Google에서 확인할 수 있습니다.
답변2
귀하의 인증서에 다음과 같은 내용이 있습니다.
CN=ds-client.demo.e-it.nz/[email protected]
내가 아는 한 그럴 것이다.
CN=ds-client.demo.e-it.nz
나에게는 이것이 당신의 문제의 이유입니다