Как решить проблему с сертификатами веб-сервера в домене?
В домене развернута pki. Корневой центр сертификации выполнен как standalone root ca (в домен не введен), ему подчинен в введен в домен issuing CA (его сертификат подписан рутовым). Обновление серта и списка отзыва на выпускающем проводится руками на рутовом раз в год без присоединения его к сети. Сертификаты rdp, разных служб, проверки подлинности и т.д. работают корректно, доменные тачки цепочке доверяют и не ругаются. Когда выпускаю сертификат для веб-сервера и устанавливаю его куда-либо (веб гуи, одностраничники в домене), то при переходе на сайт получаем NET::ERR_CERT_COMMON_NAME_INVALID. Доменное имя сайта совпадает с сертом, сам сертификат при загрузке с сайта (в хроме через: недействительный сертификат-просмотр-экспорт) показывает валидную цепочку. Получается, браузер не может дотянуться до рутового центра сертификации при проверке цепочки? Или я что-то не понимаю? Если правильно понимаю, то как с этим жить? И главный вопрос - как выпускать сертификаты для веба при таком раскладе?
у этих сертификатов в поле Subject Alternative Names что указано?
For Chrome 58 and later, only the subjectAlternativeName extension, not commonName, is used to match the domain name and site certificate. So, if you are missing the Subject Alternative Name in your certificate then you will experience the NET::ERR_CERT_COMMON_NAME_INVALID error.
1. Корневой и выпускающий сертификаты должны быть установлены в хранилища ОС на всех машинах, включая веб серверы.
2. Если конвертируете сертификат в PEM для apache\nginx и т.п., используйте полную цепочку, то есть добавляйте в файл сертификата и корневой с выпускающим сертификаты.
3. Проверьте, что CRL доступны и не просрочены.
Если эти три условия соблюдены, остальные ошибки уже на уровне ошибок при выпуске конкретного сертификата.
Коллега, читайте внимательно описание.
1) как бы машины доверяли тогда сертификатом проверки подлинности? (КД, рдп, керберос)
2) про конвертацию речи не было совсем
3) см. п.1. Служба AD CS при просроченном crl от офлайн рут тормозит службу и не запускает, пока не установишь свежий crl
Простой
