Ssl

我應該關心“伺服器證書不包含與伺服器名稱匹配的 ID”嗎?

  • January 3, 2021

我有以下配置:

<VirtualHost 1.2.3.4:443>
   ServerName mydomain.com
   ServerAlias www.mydomain.com

   ...
</VirtualHost>

我想www.mydomain.com成為主域,但我也希望使用者能夠輸入mydomain.com然後我將它們重定向到www. 所以證書名稱是www.mydomain.com. 但是隨著我在啟動apache時不斷收到這個警告:

AH01909:mydomain.com:443:0 伺服器證書不包含與伺服器名稱匹配的 ID

一切都很好,我還在 ssllabs.com 上獲得了 A 級評級。但是這個警告仍然困擾著我,我想知道我是否在這裡遺漏了什麼?

顯然證書的 CN 與 Server Name 不匹配,但它仍然匹配 Alias。

這是“不好的做法”還是有另一種不產生此警告的處理方法?我什至應該關心它嗎?最後,這只是一個警告,表明可能有問題,但事實並非如此。或者這會導致客戶端出現問題嗎?

到目前為止,一切對我來說都很好,使用者也沒有抱怨,所以我想一切都正常。

通常,警告*“伺服器證書不包含與伺服器名稱匹配的 ID”*是針對系統管理員的警告(不是致命錯誤),他們很可能犯了配置錯誤,表明設置了錯誤的 TLS 伺服器證書,或者至少 Apache httpd 無法將 ServerName 與證書中的通用名稱或任何 subjectAlternateName 匹配。

在您的情況下,只需切換 ServerName 和 ServerAlias 指令即可消除啟動錯誤。

<VirtualHost 1.2.3.4:443>
   ServerName www.example.com
   ServerAlias example.com

但是,如果未將其作為主題備用名稱條目包含在 www.example.com 證書上,您可能希望獲得 example.com 的實際證書。

引用自:https://serverfault.com/questions/814948