Ssl

RapidSSL:域名與證書公用名或 SAN 不匹配

  • November 29, 2014

我在 Amazon AWS(負載均衡器)上安裝 SSL 證書(RapidSSL)。

安裝已經完成,但是當我測試它時,我得到:

Wrong certificate installed.
The domain name does not match the certificate common name or SAN.

Certificate information
Common name: ip-172-XX-XX-XXX
SAN:

我的 SSL 證書僅適用於**https://app.domain.com,因此為app.domain.com製作了 SSL 證書**


編輯:經過一些測試,我得到:

The certificate is self-signed. Users will receive a warning when accessing         
this site unless the certificate is manually added as a trusted certificate to  
their web browser. You can fix this error by buying a trusted SSL certificate

None of the common names in the certificate match the name that was entered         
(app.domain.com). You may receive an error when accessing this site in a web    
browser. Learn more about name mismatch errors.
Common name: ip-172-XX-XX-XXX
Organization: SomeOrganization
Location: SomeCity, SomeState, --
Valid from July 23, 2014 to July 23, 2015
Serial Number: 218621 (0x5566)
Signature Algorithm: sha256WithRSAEncrypt
Issuer: ip-172-XX-XX-XXX

Edit2:檢查我發現的伺服器:

在文件夾**/ssl/certs**

localhost.crt //this is the one giving me trouble
ca-bundle.crt
ca-bundle.trust.crt

我應該刪除 localhost.crt 嗎?

謝謝

第一:請不要刪除您的 localhost.crt。如果這樣做,您將無法重新啟動伺服器,並且您的網頁將處於離線狀態。如果有任何機會,您必須使用以下命令從您的私鑰重新生成一個新的 localhost.crt 文件:

openssl req -new -x509 -nodes -sha1 -days 365 -key /etc/pki/tls/private/localhost.key > /etc/pki/tls/certs/localhost.crt

第二:如果您使用負載均衡器完成了創建證書的過程,則無需使用 AWS IAM 或更改您的 ssl.conf文件。缺少的步驟是更改您的域記錄集。如果您的域託管在 AWS 中,請轉到EC2 管理控制台中的Route 53並創建一個記錄集。它必須是A 類記錄(不是CNAME),別名指向您的Amazon 負載均衡器(在面板的DNS選項卡中檢查您的地址)。地址應該是這樣的:

9999999999.eu-west-1.elb.amazonaws.com 

SubjectCN 中使用的主機名(可選,但通用)和 SubjectAN 中的至少一個條目(強制)需要與您引用 VirtualHost 的名稱匹配(無論您是按名稱(使用 SNI)還是按 IP 生成 VirtualHost) . 此外,您應該將此主機名生成為 /etc/hosts 中的主主機名或別名。請注意,這需要是 FQDN,因為匹配必須準確

$$ 1 $$. 如果證書是為“app.domain.com”頒發的,您必須讓您的應用程序監聽並響應對“app.domain.com”的請求。出於測試目的,您可以將作業系統看到的主機名更改為“app.domain.com”(使用主機名命令並在“/etc/hostname”文件中設置“HOSTNAME”參數)。


1:請注意,大多數認證機構不會為不合格的主機名頒發證書,因為他們無法確保他們所擔保和賭注的主機名真正屬於請求它的個人或組織而沒有域組件

引用自:https://serverfault.com/questions/647595