confusione con ssl cert e apache

Ho creato una firma autografata. Ho visitato il mio sito e ho visto che non era affidabile (in FF e IE). Dopo averlo accettato ho visto un msg in IE dicendo che è stato firmato per un dominio diverso. Vieni a pensare che io non ricordo mai scrivere il dominio (s) che sto utilizzando questo certificato.

Sono abbastanza sicuro che ho visto questo errore altrove. Come faccio a firmare un certificato correttamente?

  • Disabilitare il barboncino Nginx sslv3
  • Perché Chrome si lamenta di "crittografia obsoleta"?
  • Azure support i certificati UCC / SAN SSL?
  • Certificato SSL per il sito su Amazon ec2 ansible?
  • Problemi con il certificato SSL auto-firmato per SSTP in Windows Server Foundation 2008
  • Certificato SSL non trovato nell'elenco a discesa - IIS 7
  • Certificati SSL Double Wildcard
  • Imansible utilizzare il bundle CA incorporato per verificare il certificato SSL di GoDaddy SHA2
  • 2 Solutions collect form web for “confusione con ssl cert e apache”

    Se la CN (Common Name) utilizzata quando si crea il certificato è diversa dal nome del tuo sito web, riceverai degli errori relativi alla firma di un diverso dominio.

    Quindi, se il tuo sito è chiamato

    myselfsignedsite.whatever.com 

    Immettere questa voce quando viene chiesto la CN durante il process di creazione del certificato. Questo dovrebbe rimuovere gli errori relativi al dominio.

    Sarà comunque lamentato di non essere attendibile, a less che non lo sia firmato da un CA attendibile.

    Il nome host dell'URL deve corrispondere al Common Name ("CN") dell'object del certificato. Quando si genera la richiesta di firma del certificato (CSR), OpenSSL richiede il codice del paese, lo stato o la provincia, la località, l'organizzazione, l'unità organizzativa, il nome comune e l'indirizzo di posta elettronica. Assicurarsi di inserire il nome host del server come nome comune. La CN può anche essere una wildcard ( *.example.net ).

    È inoltre ansible generare un certificato valido per nomi host diversi (non un carattere jolly), nel qual caso il nome host può anche corrispondere a uno dei subjectAltName del certificato. Ci sono due modi per creare un tale certificato con OpenSSL.

    Il modo più semplice è che l'Autorità di certificazione inserisca nel certificato firmato. Il CA openssl.cnf bisogno

     [ usr_cert ] subjectAltName=DNS:host1.example.com,DNS:host2.example.org 

    L'altro modo è quello di mettere il subjectAltName nella CSR e avere la CA onorarla. Nel openssl.cnf del richiedente:

     [ v3_req ] subjectAltName=DNS:host1.example.com,DNS:host2.example.org 

    Nelle openssl.cnf di CA:

     [ usr_cert ] subjectAltName=email:copy 

    In entrambi i casi, il certificato generato dovrebbe essere valido per tre hostname (host1.example.com, host2.example.org e la CN del sobject).

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.