@0CYBEaR0

Как решить проблему с сертификатами веб-сервера в домене?

В домене развернута pki. Корневой центр сертификации выполнен как standalone root ca (в домен не введен), ему подчинен в введен в домен issuing CA (его сертификат подписан рутовым). Обновление серта и списка отзыва на выпускающем проводится руками на рутовом раз в год без присоединения его к сети. Сертификаты rdp, разных служб, проверки подлинности и т.д. работают корректно, доменные тачки цепочке доверяют и не ругаются. Когда выпускаю сертификат для веб-сервера и устанавливаю его куда-либо (веб гуи, одностраничники в домене), то при переходе на сайт получаем NET::ERR_CERT_COMMON_NAME_INVALID. Доменное имя сайта совпадает с сертом, сам сертификат при загрузке с сайта (в хроме через: недействительный сертификат-просмотр-экспорт) показывает валидную цепочку. Получается, браузер не может дотянуться до рутового центра сертификации при проверке цепочки? Или я что-то не понимаю? Если правильно понимаю, то как с этим жить? И главный вопрос - как выпускать сертификаты для веба при таком раскладе?
  • Вопрос задан
  • 201 просмотр
Решения вопроса 1
@NortheR73
системный инженер
у этих сертификатов в поле Subject Alternative Names что указано?

For Chrome 58 and later, only the subjectAlternativeName extension, not commonName, is used to match the domain name and site certificate. So, if you are missing the Subject Alternative Name in your certificate then you will experience the NET::ERR_CERT_COMMON_NAME_INVALID error.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
1. Корневой и выпускающий сертификаты должны быть установлены в хранилища ОС на всех машинах, включая веб серверы.
2. Если конвертируете сертификат в PEM для apache\nginx и т.п., используйте полную цепочку, то есть добавляйте в файл сертификата и корневой с выпускающим сертификаты.
3. Проверьте, что CRL доступны и не просрочены.
Если эти три условия соблюдены, остальные ошибки уже на уровне ошибок при выпуске конкретного сертификата.
Ответ написан
@ksnovv
Современные браузеры берут имя из SAN а не из subject.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы