#ssl #openssl #certificate #ssl-certificate #x509certificate
#ssl #openssl #сертификат #ssl-сертификат #x509certificate
Вопрос:
У меня есть один сертификат сервера, установленный на сервере apache, который имеет следующие признаки
1) Общее имя: 192.168.0.107
2) Альтернативное имя субъекта: IP: 192.168.0.108, IP: 192.168.0.109
Когда браузер обращается к любому альтернативному имени субъекта, браузер показывает зеленый замок (безопасное соединение), но когда я пытаюсь получить доступ к серверу по его общему имени, браузер показывает (небезопасное соединение). почему это происходит, есть ли какая-либо ошибка в моем сертификате? пожалуйста, помогите мне с этим
Примечание: я установил корневой сертификат в браузере
Ответ №1:
Поскольку HTTP через TLS был введен в 2000 году и определен RFC2818, использование поля commonName считается устаревшим, и если присутствует subjectAlternativeName, его необходимо использовать.
Если присутствует расширение subjectAltName типа dNSName, оно должно использоваться в качестве идентификатора. В противном случае НЕОБХОДИМО использовать (наиболее конкретное) поле общего имени в поле Тема сертификата. Хотя использование общего имени является существующей практикой, оно устарело, и центрам сертификации рекомендуется использовать вместо него dNSName.
В настоящее время большинство браузеров требуют расширения SAN и даже не принимают сертификаты только с CN. См. https://security.stackexchange.com/questions/172626/chrome-requires-san-names-in-certificate-when-will-other-browsers-ie-follow
Комментарии:
1. Спасибо за ваш ответ, но могу ли я каким-либо образом включить CN и SAN в свой сертификат?
2. Нет, RFC понятен. Если присутствует SAN, он должен быть использован. Вы также можете включить имя CN в SAN
3. спасибо, приятель, за вашу помощь