【发布时间】:2018-02-11 08:06:32
【问题描述】:
有一个非面向公众的应用程序。我正在尝试确保没有与 HTTPS 相关的警告/错误。
将证书放入 SAN 字段(由受信任的 CA 签名)后收到的错误是 Web 应用程序根本不会加载,即仅 Google Chrome(最新)抛出 ERR_CONNECTION_RESET。这是我得到的唯一错误。 Firefox/Safari 运行良好。
相比之下,带有 SAN 字段的自签名证书不会给出损坏的 HTTPS 错误(SAN 相关警告);由于证书是自签名的,我不会谈论我遇到的另一个错误。
我看到的异常情况是证书链中的根证书(向上一级;总共有 2 级深度)在受信任的 CA 签名证书的情况下,没有任何 SAN 字段在里面。
我没有尝试修复那部分(不确定是否可以修复,所以不会多说),即将 SAN 字段附加到根证书。在采取更多行动之前,我想先在这里谈谈。
应用程序(需要带有 SAN 的证书)是非公开的,即 SAN 字段的 DNS 条目包含一个不可公开解析的域地址(在此之前应该不是问题我的浏览器可以解决吗?)。
任何形式的洞察力都非常有帮助。如果需要澄清,请提出建议。
附言
一些更新:
- 我想测试 openssl 生成的带有 X509 扩展(SAN,密钥用法)的自签名 CA 是否会出错。有趣的是,它并没有给出那个 Chrome 错误。它可以正常工作(除了自签名错误,这不是 atm 关注的问题)。
- 在 Windows 操作系统中打开证书文件并检查扩展名后,自签名证书的 Key Usage 为 Key Encipherment, Data Encipherment (30) 并标记非关键,但是,对于 CA 签名(Microsoft Active Directory 证书服务),它是数字签名、密钥加密 (a0),并且被标记为关键。
- 为了排除这是否可能是 Key Usage 被标记为关键的问题,我生成了一个带有 X509 扩展名的自签名证书(再次使用 openssl)标记为关键。有趣的是,它也运行良好。在这种情况下,我得到的唯一错误是证书是自签名的。
- 当 CA 返回请求的签名证书时,证书中会添加许多其他 X509 非关键扩展。不过,我目前认为这不是问题,这可能是关键 Key Usage 扩展以及那些非关键扩展可能导致故障范围的原因。
- 对于 TLS 握手,根本没有来自服务器端的回复。
认为这可能是 CA 签名证书中涉及的任何编码问题是否公平?
此帖子现已在Serverfault跟进
【问题讨论】:
-
如今,带有 SAN 的证书几乎是通用的,根证书是否有没有区别。您的错误可能与它具有 SAN 的事实无关。而且 stackoverflow 是针对编程问题,而不是服务器 SSL 配置问题。
-
@JamesKPolk 我也这么认为。并且,感谢您指出。我将转到 ServerFault。
-
@Avineshwar:我同意 JamesKPolk 的观点,即这既与证书的 SAN 部分的纯粹存在无关,也与根中不存在 SAN 部分有关(没有圣)。这也意味着将您的问题移至 serverfault.com 无济于事,因为它目前没有帮助解决问题所需的信息。我认为您需要提供更多信息,最好足以让其他人重现您的问题。
-
@SteffenUllrich 我想在 serverfault.com 上继续跟进,但是,为了完整起见,此时此处提供的信息与 serverfault.com 相同。跨度>
-
Stack Overflow 是一个编程和开发问题的网站。这个问题似乎离题了,因为它与编程或开发无关。请参阅帮助中心的What topics can I ask about here。也许Web Applications Stack Exchange、Webmaster Stack Exchange 或Unix & Linux Stack Exchange 会是一个更好的提问地点。
标签: google-chrome ssl https pki ca