confusione con ssl cert e apache

Ho creato una firma autografata. Ho visitato il mio sito e ho visto che non era affidabile (in FF e IE). Dopo averlo accettato ho visto un msg in IE dicendo che è stato firmato per un dominio diverso. Vieni a pensare che io non ricordo mai scrivere il dominio (s) che sto utilizzando questo certificato.

Sono abbastanza sicuro che ho visto questo errore altrove. Come faccio a firmare un certificato correttamente?

2 Solutions collect form web for “confusione con ssl cert e apache”

Se la CN (Common Name) utilizzata quando si crea il certificato è diversa dal nome del tuo sito web, riceverai degli errori relativi alla firma di un diverso dominio.

Quindi, se il tuo sito è chiamato

myselfsignedsite.whatever.com 

Immettere questa voce quando viene chiesto la CN durante il process di creazione del certificato. Questo dovrebbe rimuovere gli errori relativi al dominio.

Sarà comunque lamentato di non essere attendibile, a less che non lo sia firmato da un CA attendibile.

Il nome host dell'URL deve corrispondere al Common Name ("CN") dell'object del certificato. Quando si genera la richiesta di firma del certificato (CSR), OpenSSL richiede il codice del paese, lo stato o la provincia, la località, l'organizzazione, l'unità organizzativa, il nome comune e l'indirizzo di posta elettronica. Assicurarsi di inserire il nome host del server come nome comune. La CN può anche essere una wildcard ( *.example.net ).

È inoltre ansible generare un certificato valido per nomi host diversi (non un carattere jolly), nel qual caso il nome host può anche corrispondere a uno dei subjectAltName del certificato. Ci sono due modi per creare un tale certificato con OpenSSL.

Il modo più semplice è che l'Autorità di certificazione inserisca nel certificato firmato. Il CA openssl.cnf bisogno

 [ usr_cert ] subjectAltName=DNS:host1.example.com,DNS:host2.example.org 

L'altro modo è quello di mettere il subjectAltName nella CSR e avere la CA onorarla. Nel openssl.cnf del richiedente:

 [ v3_req ] subjectAltName=DNS:host1.example.com,DNS:host2.example.org 

Nelle openssl.cnf di CA:

 [ usr_cert ] subjectAltName=email:copy 

In entrambi i casi, il certificato generato dovrebbe essere valido per tre hostname (host1.example.com, host2.example.org e la CN del sobject).

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.