Сертификат не соответствует запрошенному имени

0

1

Привет.

В домене domain.local есть веб-сервер Apache web.domain.local (все узлы - дебиан). Он работает как дефолтный сайт по SSL Сгенерирован ему сертификат web.crt, удостоверяемый СА , для CN = web.domain.local.

            DocumentRoot /var/www/html
	#ServerName web.domain.local
	...
	SSLEngine on
	SSLCertificateFile /etc/ssl/certs/web.crt
            SSLCertificateKeyFile /etc/ssl/certs/web.key
            ...
	SSLCACertificateFile /etc/some_path/ca.crt # среди доверенных корневых

При обращении в браузере по адресу https://web.domain.local возникает ошибка: запрошенное имя не соответствует указанному в сертификате сервера

Читаю openssl x509 -in /etc/ssl/certs/web.crt -text -noout и вижу ожидаемое: Subject: C = CA, ST = None, L = NB, O = None, CN = web.domain.local

Проверяю валидность сертификата web.crt - Ок

Таким образом, полное имя компьютера web.domain.local совпадает с тем, что содержится в сертификате.

Почему же сертификат браузерами признается несоответствующим имени ресурса?

←	Странные проблемы с сетевым соединением (Wi-Fi)

проблема с ssd M2

→

Почему же сертификат браузерами признается несоответствующим имени ресурса?

Наверное, /etc/some_path/ca.crt не среди доверенных корневых в том браузере, которым пробуешь.

vvn_black ★★★★★
(18.10.23 16:07:41 MSK)

удостоверяемый СА ,

ца то установлен на клиенте?

Anoxemian ★★★★★
(18.10.23 16:07:58 MSK)

В сертификате SubjectAltName есть? Если есть - то CN игнорируется.

firkax ★★★★★
(18.10.23 16:30:21 MSK)

Ответ на: комментарий от vvn_black 18.10.23 16:07:41 MSK

Несоответствие имени и недоверенность это разные ошибки и их не перепутать.

firkax ★★★★★
(18.10.23 16:31:05 MSK)

Ответ на: комментарий от Anoxemian 18.10.23 16:07:58 MSK

Да,конечно, причем при попытке подгрузить файрфоксу са в его настройках он отвечает, что этот са он уже знает.

DrBim
(19.10.23 21:08:57 MSK) автор топика

Ответ на: комментарий от firkax 18.10.23 16:30:21 MSK

Серт первой версии и не содержит этого поля.

Certificate: Data: Version: 1 (0x0)

    Serial Number:

        ...:...
    Signature Algorithm: sha256WithRSAEncryption

    Issuer: CN = CA Signing Certificate

    Validity

        Not Before: Oct 18 08:59:32 2023 GMT

        Not After : Oct 12 08:59:32 2024 GMT

    Subject: C = CA, ST = None, L = NB, O = None, CN = myhost.domain

[req] distinguished_name = req_distinguished_name req_extensions = v3_req prompt = no

[req_distinguished_name] CN = myhost.domain

[v3_req] subjectAltName = ~~@alt_names~~

[alt_names] DNS.1 = myhost.domain

далее указываю использовать -config req.conf -extensions v3_req (на ключ -extfile ругается, не знает такой опции), но сертификат все равно выпускается первой версии.

Why ?????? Почему???

DrBim
(19.10.23 21:14:41 MSK) автор топика
Последнее исправление: DrBim 19.10.23 21:19:10 MSK (всего исправлений: 3)

Браузер, когда ругается, предлагает посмотреть плохой сертификат. Посмотри его там, а не в конфиге сервера. Может быть ты не там конфиг правил или не перезапустил сервер после этого.

firkax ★★★★★
(19.10.23 21:28:52 MSK)

Ответ на: комментарий от DrBim 19.10.23 21:14:41 MSK

Забей, если SubjectAltName нет то всё в порядке. Если бы он был то в нём могло бы быть написано что-то не то.

firkax ★★★★★
(19.10.23 21:31:33 MSK)

Скинь сюда полный сертификат, чё гадать.

vbr ★★★
(20.10.23 02:11:51 MSK)

←	Странные проблемы с сетевым соединением (Wi-Fi)

General

проблема с ssd M2

→

Похожие темы