RapidSSL: доменное имя не соответствует общему названию сертификата или SAN
Я устанавливаю SSL, certifcate (RapidSSL) на Amazon AWS (Подсистема балансировки нагрузки).
Установка была уже завершена, но когда я тестирую ее, я добираюсь:
Wrong certificate installed.
The domain name does not match the certificate common name or SAN.
Certificate information
Common name: ip-172-XX-XX-XXX
SAN:
Мой сертификат SSL только для https://app.domain.com, таким образом, сертификат SSL был сделан для app.domain.com
Править: После некоторого теста я добираюсь:
The certificate is self-signed. Users will receive a warning when accessing
this site unless the certificate is manually added as a trusted certificate to
their web browser. You can fix this error by buying a trusted SSL certificate
None of the common names in the certificate match the name that was entered
(app.domain.com). You may receive an error when accessing this site in a web
browser. Learn more about name mismatch errors.
Common name: ip-172-XX-XX-XXX
Organization: SomeOrganization
Location: SomeCity, SomeState, --
Valid from July 23, 2014 to July 23, 2015
Serial Number: 218621 (0x5566)
Signature Algorithm: sha256WithRSAEncrypt
Issuer: ip-172-XX-XX-XXX
Edit2: Проверка сервера я нашел:
В папке,/ssl/certs
localhost.crt //this is the one giving me trouble
ca-bundle.crt
ca-bundle.trust.crt
Я должен удалить localhost.crt?
Спасибо
Первый : Пожалуйста, не удаляйте свой localhost.crt. Если вы это сделаете, вы не сможете перезапустить сервер, и ваша веб-страница будет отключена. Если случайно вы это сделаете, вам придется повторно сгенерировать новый файл localhost.crt из вашего закрытого ключа, используя следующую команду:
openssl req -new -x509 -nodes -sha1 -days 365 -key /etc/pki/tls/private/localhost.key > /etc/pki/tls/certs/localhost.crt
Второй : если вы завершили процесс создания сертификата с вашими балансировщиками нагрузки, вам не нужно использовать AWS IAM или изменять файл ssl.conf . Отсутствует шаг, чтобы изменить набор записей домена. Если ваш домен размещен в AWS, перейдите к Route 53 в консоли управления EC2 и создайте набор записей. Это должна быть запись типа A (не CNAME ) с псевдонимом, указывающим на ваш Amazon Load Balancer (проверьте свой адрес на вкладке DNS в панели). Адрес должен быть примерно таким:
9999999999.eu-west-1.elb.amazonaws.com
Имя хоста, используемое в SubjectCN (необязательно, но обычно), и хотя бы одна запись в SubjectAN (обязательно) должна соответствовать имени, по которому вы ссылаетесь на VirtualHost (независимо от того, генерируете ли вы VirtualHost по имени (используя SNI) или по IP). Кроме того, это имя хоста должно быть сгенерировано либо как основное имя хоста, либо как псевдоним в вашем / etc / hosts. Обратите внимание: это должно быть полное доменное имя, так как совпадение должно быть точным [1].
Если сертификат выдан для «app.domain.com», ваше приложение должно прослушивать и отвечать на запросы «app» .domain.com ". Для целей тестирования вам будет полезно изменить имя хоста, видимое ОС, на «app.domain.com» (используя команду hostname и установив параметр «HOSTNAME» в файле «/ etc / hostname»).
1: Обратите внимание, что большинство Удостоверяющих органов не будет выдавать сертификат для неквалифицированного имени хоста, поскольку у них нет возможности гарантировать, что имя хоста, за которое они ручаются и заявляют о своих отношениях, действительно принадлежит лицу или организации, запрашивающим его, без компонент домена