我创build了一个自签名的签名。 我访问了我的网站,看到它是不可信的(在FF和IE)。 接受它后,我看到在IE中的一个味精,说它签署了一个不同的领域。 来想一想,我不记得曾经写域(S)我会使用这个证书。
我很确定我在其他地方看到了这个错误。 我如何正确签署证书?
如果您在创build证书时使用的CN(通用名称)与您网站的名称不同,则会收到有关为其他域名签名的错误。
所以,如果你的网站被调用
myselfsignedsite.whatever.com 在证书创build过程中询问CN时input。 这应该删除有关域的错误。
它仍然会抱怨它不被信任,除非你有一个可信的CA签名。
URL的主机名必须与证书主体的Common Name (“CN”)相匹配。 当您生成证书签名请求(CSR)时,OpenSSL会提示您input国家代码,州或省,地区,组织,组织单位,通用名称和电子邮件地址。 请务必input您的服务器的主机名作为通用名称。 CN也可以是通配符( *.example.net )。
也可以生成对多个离散主机名(不是通配符)有效的证书,在这种情况下,主机名也可以与证书的subjectAltName之一匹配。 用OpenSSL创build这样的证书有两种方法。
简单的方法是将证书颁发机构放入签名证书。 CA的openssl.cnf需要
[ usr_cert ] subjectAltName=DNS:host1.example.com,DNS:host2.example.org
另一种方法是将subjectAltName放在CSR中, subjectAltName CA来履行。 在请求者的openssl.cnf :
[ v3_req ] subjectAltName=DNS:host1.example.com,DNS:host2.example.org
在CA的openssl.cnf :
[ usr_cert ] subjectAltName=email:copy
无论如何,生成的证书应该对三个主机名(host1.example.com,host2.example.org和主题的CN)有效。