如果我的英语不太好,我深表歉意。我正在尝试从我的 IIS 服务器创建证书请求,但每次我完成请求。客户端仍然不信任 Web 服务器。
我来自开发背景,并不真正从事基础设施运营。所以我的问题可能是不正确的,由于误解,如果是这样,请随时教育我。以下是我的问题:
在开始证书请求之前,我是否需要将根证书导入到 Windows IIS 服务器中?如果是这样,我如何从 Window 证书颁发机构创建或导出根证书?
【问题讨论】:
标签: windows ssl active-directory ssl-certificate iis-8
虽然这个答案不是特定于 Windows 的,但我通过搜索我的问题找到了这个页面,希望以下信息对像我这样在 Linux 上遇到此问题的人有用:
我也遇到过这个问题,虽然接受的答案可能是正确的,但使用 SAN(主题备用名称)生成 CSR(证书签名请求)的过程需要一些解释。
有几篇文章详细介绍了这一点,但基本上,您需要创建一个文件,我们称之为ssl.conf,其中包含必要的信息,包括 SAN 详细信息,您将通过参数将其传递给 openssl创建 CSR 时的命令。
(假设您已经生成了一个密钥)。
ssl.conf的内容可以简单如下。请注意底部详细说明 SAN 的部分。 调整所有参数以满足您的要求。
[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
C=US
ST=New York
L=Rochester
O=End Point
OU=Testing Domain
emailAddress=your-administrative-address@your-awesome-existing-domain.com
CN = www.your-new-domain.com
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = your-new-domain.com
DNS.2 = www.your-new-domain.com
文件的其余部分包含在创建 CSR 期间会提示您输入的其他 X.509 信息(国家、州等)
现在您可以按如下方式创建您的 CSR:
openssl req -new -sha256 -out private.csr -key private.key -config ssl.conf
private.csr 指的是您的新 CSR 文件,private.key 指的是您已经生成的密钥,ssl.conf 是上面的文件。
您可以按如下方式验证新 CSR 的内容:
openssl req -text -noout -verify -in private.csr
然后您将在控制台上看到 CSR 的详细信息,包括 SAN 详细信息。
参考资料:
【讨论】:
错误可能是由于多种原因
a) 您正在使用 IP 地址访问网站(假设您拥有基于 URL 的证书)。因此,请尝试使用您为其购买证书的 URL 进行访问
b) 您已为 xyz.com 购买了证书,但已将其绑定到 abc.com 。因此,在访问 abc.com 时,您会收到上述错误。如果有证书,请绑定正确的证书。
c) 您已获得多域证书,但您尝试访问的 url 未作为 SAN 添加到证书中。与您的 SSL 提供商谈一谈,请他将 URL 作为 SAN 添加到证书中。
【讨论】:
答案不应该是 Chrome 强制要求主题备用名称 (SAN) 用于证书验证检查吗?这是一个link,它更多地说明了通用名称 (CN) 和 SAN 之间的比较
【讨论】: