带有UCC证书和多个SAN的SSL证书警告
我正在和一个想在他的网站上安装几个页面的SSL安全的客户端合作。 他使用GoDaddy的共享主机,而我们正在处理的当前网站位于主要主机帐户的子域中:
例:
(Primary) www.coolsite.com (New one) www.completelydifferent.com www.someothersubdomain.com www.anotherone.com 当他购买SSL证书时,即使需要新域名(www.completelydifferent.com)的安全性,他也会将其购买到主域名(www.coolsite.com)。 这不是一个大问题,因为我能够添加一个主题替代名称到证书来包含新的域名。 我用SSL检查器检查了这两个网站,他们似乎工作正常。
但是,当我尝试使用SSL时遇到了问题。 我有注册页面与绝对URL( https://www.completelydifferent.com/register.php )链接的所有引用,但是当我testing链接来validation安全,我得到了以下错误:
- 在小型networking上,WPA2企业需要多less用户/请求方证书?
- 导致代码失败的证书问题
- 微软CRL的URL
- 使用我们自己的证书颁发机构进行企业邮件加
- 我可以在Tomcat中使用自签名证书作为私有API,并使用公共页面的商业证书吗?
This is probably not the site you are looking for! You attempted to reach completelydifferent.com, but instead you actually reached a server identifying itself as www.coolsite.com. This may be caused by a misconfiguration on the server or by something more serious. An attacker on your network could be trying to get you to visit a fake (and potentially harmful) version of amazon.com. You should not proceed.
我不知道为什么我得到这个错误,因为我添加了其他主题备用名称,所以我不知道该怎么做来解决这个问题。 但是,我知道,用户可能会被吓得远离这个可怕的红色屏幕,警告他们安全漏洞。
有没有办法做到这一点,而不要求他购买另一个SSL证书?
编辑:这是从显示SSL证书的GoDaddy门户的屏幕截图。 顶部两个模糊的URL是主要域,底部的SAN是我想使用SSL的那个。
将主题替代名称添加到证书时,将应用与通用名称相同的规则。 正在使用的完整域名必须是其中的一个。
在你的情况下,你使用的域名www.completelydifferent.com但单一的SAN只能作为completelydifferent.com 。 这是不够接近,并会导致浏览器警告你已经看到。 令人困惑的是,浏览器awrnings(我认为这是所有的浏览器是相同的)将在警告中显示证书的CN而不是SAN,所以它给人的印象是没有正确读取SAN。
同样有用: openssl是openssl库函数的命令行界面,可用于validation证书: openssl x509 -in <cert file> -text将显示证书文件的全文。 (有些证书在文件中包含这个文本)
如果你买了一个UCC,那么有一个主要的fqdn,然后是4或更多的fqdn。
但是,主要id始终是主要的fqdn。 这就是为什么它只用于UC。