RapidSSL:域名與證書公用名或 SAN 不匹配
我在 Amazon AWS(負載均衡器)上安裝 SSL 證書(RapidSSL)。
安裝已經完成,但是當我測試它時,我得到:
Wrong certificate installed. The domain name does not match the certificate common name or SAN. Certificate information Common name: ip-172-XX-XX-XXX SAN:
我的 SSL 證書僅適用於**https://app.domain.com,因此為app.domain.com製作了 SSL 證書**
編輯:經過一些測試,我得到:
The certificate is self-signed. Users will receive a warning when accessing this site unless the certificate is manually added as a trusted certificate to their web browser. You can fix this error by buying a trusted SSL certificate None of the common names in the certificate match the name that was entered (app.domain.com). You may receive an error when accessing this site in a web browser. Learn more about name mismatch errors. Common name: ip-172-XX-XX-XXX Organization: SomeOrganization Location: SomeCity, SomeState, -- Valid from July 23, 2014 to July 23, 2015 Serial Number: 218621 (0x5566) Signature Algorithm: sha256WithRSAEncrypt Issuer: ip-172-XX-XX-XXX
Edit2:檢查我發現的伺服器:
在文件夾**/ssl/certs**
localhost.crt //this is the one giving me trouble ca-bundle.crt ca-bundle.trust.crt
我應該刪除 localhost.crt 嗎?
謝謝
第一:請不要刪除您的 localhost.crt。如果這樣做,您將無法重新啟動伺服器,並且您的網頁將處於離線狀態。如果有任何機會,您必須使用以下命令從您的私鑰重新生成一個新的 localhost.crt 文件:
openssl req -new -x509 -nodes -sha1 -days 365 -key /etc/pki/tls/private/localhost.key > /etc/pki/tls/certs/localhost.crt
第二:如果您使用負載均衡器完成了創建證書的過程,則無需使用 AWS IAM 或更改您的 ssl.conf文件。缺少的步驟是更改您的域記錄集。如果您的域託管在 AWS 中,請轉到EC2 管理控制台中的Route 53並創建一個記錄集。它必須是A 類記錄(不是CNAME),別名指向您的Amazon 負載均衡器(在面板的DNS選項卡中檢查您的地址)。地址應該是這樣的:
9999999999.eu-west-1.elb.amazonaws.com
SubjectCN 中使用的主機名(可選,但通用)和 SubjectAN 中的至少一個條目(強制)需要與您引用 VirtualHost 的名稱匹配(無論您是按名稱(使用 SNI)還是按 IP 生成 VirtualHost) . 此外,您應該將此主機名生成為 /etc/hosts 中的主主機名或別名。請注意,這需要是 FQDN,因為匹配必須準確
$$ 1 $$. 如果證書是為“app.domain.com”頒發的,您必須讓您的應用程序監聽並響應對“app.domain.com”的請求。出於測試目的,您可以將作業系統看到的主機名更改為“app.domain.com”(使用主機名命令並在“/etc/hostname”文件中設置“HOSTNAME”參數)。
1:請注意,大多數認證機構不會為不合格的主機名頒發證書,因為他們無法確保他們所擔保和賭注的主機名真正屬於請求它的個人或組織而沒有域組件