Ssl

網站證書詳細資訊與伺服器 CSR 不匹配

  • December 21, 2017

我遇到了一個奇怪的問題。我們剛剛啟用了啟用 SSL 的網站。但是當我訪問該站點時,卻出現了“SEC_ERROR_UNKNOWN_ISSUER”錯誤。然後,當我查看 sslshopper.com 上的證書詳細資訊或 SSL 檢查器時,它顯示了一組奇怪的 CSR 資訊:

(網路瀏覽器證書)

但是當我在伺服器上的 CSR 文件上執行 CSR 解碼器時,它顯示了正確的通用名稱和組織資訊,這與網站證書詳細資訊中顯示的不同(在上面的螢幕截圖中):

(伺服器 CSR 截圖)

我還使用伺服器上的 crt、密鑰和 csr 文件執行了證書密鑰匹配器(https://www.sslshopper.com/certificate-key-matcher.html),證書與伺服器上的私鑰匹配,並且證書匹配企業社會責任也是如此。

所以我對為什麼網站返回不同的證書內容(通用名等)並給出錯誤感到困惑。

SSL 檢查器的螢幕截圖顯示此站點的 IP 地址為 162.209.88.109(即託管在 Rackspace)和證書的“helotes”頒發者 - 這表明此處使用了一些自頒發的證書。

但是,目前的 DNS 查詢顯示 IP 地址為 50.56.149.253(託管在 Liquidweb),並且SSLLabs 分析顯示為該站點正確設置了公開信任的證書。

我的猜測是,不僅創建了一個新證書,而且該站點也被移動到了不同的提供商。但是,DNS 設置的更改不會立即反映(可能需要數小時甚至一天,具體取決於 DNS 記錄的設置),這意味著 SSL 檢查器仍顯示舊設置。

引用自:https://serverfault.com/questions/889118