Stack Overflow 用户您好。
我最近设置了一个基于 IIS 的 Web 服务器,该服务器在加入我的 Windows 域的服务器上运行。 我想从多个加入域的客户端电脑查看网页,但不希望在 Google Chrome 等中弹出“您的连接不是私有的”。
通过我的 Windows CA 服务器生成证书后,Chrome 抱怨未指定 SAN,但查看证书后我可以看到指定了一个。
为了尝试解决此问题,我在 IIS 服务器上生成了一个具有以下属性的 .CSR 文件:
CN = FQDN of IIS server
C = GB
L = My locality
O = My company name
Certificate Subject Alternative name = 192.168.0.XX (IP address of server
通过 所有任务 --> 高级操作 --> 从 mmc.exe 中的证书管理单元创建自定义请求
生成的 .CSR然后,我登录到我的 Windows CA 服务器,并通过打开 CMD 窗口并运行以下命令来为其提供之前生成的 .CSR 文件:
`certreq -attrib “CertificateTemplate:WebServer" `
然后生成证书,我将其导出为 .PFX,然后将其导入到 IIS。 将其导入 IIS 后,我更改了绑定以使用新的 CA 签名证书而不是自签名证书。
当我在 Chrome 中访问基于 IIS 的网页时,我可以看到证书已更新,因为我可以看到它具有前面提到的属性,并且发布者被列为我的 CA 服务器。 由于某种原因,我仍然收到 Chrome 错误:
该服务器无法证明它是FQDN;其安全证书未指定主题备用名称。这可能是由于配置错误或攻击者拦截您的连接造成的。
当我在 Chrome 浏览器中查看证书时,我可以清楚地看到 SAN 被定义为 IP 地址 - 是否有可能 IP 地址无效而实际上正在寻找主机名?
任何帮助将不胜感激。
谢谢。
https://datatracker.ietf.org/doc/html/rfc6125#section-6.3
安全警告:客户不得寻求匹配的参考 CN-ID 的标识符(如果提供的标识符包括 DNS-ID), SRV-ID、URI-ID 或任何特定于应用程序的标识符类型 得到客户的支持。
一旦有了 SAN 扩展,主题 CN 就不再匹配。 如果您看到主题 CN 在 Chrome 以外的浏览器中用作匹配项,则仅意味着它们的名称匹配实现不会将仅 IP 地址 SAN 视为触发此子句;但 Chrome 显然可以。
只需修复您的创建过程,在构建证书时将 CN 值复制到 SAN 中即可。
