为什么我的浏览器出现SSL证书“常见名称不匹配”错误?

好的SSL证书请关注我们

为什么我的浏览器出现SSL证书“常见名称不匹配”错误?

SSL证书

实际上,公用名不匹配不是错误,但是一旦您尝试在浏览器中访问的主机名与在建立https期间从服务器获取的证书的公用名不匹配时发生的警告会话。由于多种原因,可能会出现此警告;我们在下面描述了最广泛的证书错误情,况已安装SSL证书,但域指向共享IP地址。

已安装证书,但域指向共享IP地址。

通常需要专用IP才能安装SSL证书。如果已在同一IP地址中安装了SSL证书,则浏览器将建立与IP地址中安装的原始证书的连接。

在建立SSL / TLS会话期间,客户端的浏览器会将颁发主证书的公用名称与浏览器尝试解析的域名进行比较。如果公共名称与发送请求的域名不同,则会发生公共名称不匹配警告。

该警告声称已通过domaintest.com发出了按请求获取的SSL证书。发生这种情况是因为请求中的域名与颁发证书的域名不匹配。如果您的Web主机和我们一样,提供允许在同一IP地址上托管多个证书的SNI(服务器名称指示),则不需要额外的IP地址。如果您尝试访问的主机名的证书(在我们的示例中为ssl-certificate-host.com)未在启用SNI的情况下安装在服务器上,则会出现相同的警告。

错误代码并不总是一样的; 它也可以是FireFox中的sec_error_untrusted_issuer,如下面的屏幕截图所示:

SSL证书常见名称不匹配

在这种情况下,错误代码sec_error_untrusted_issuer而不是ssl_error_bad_cert_domain意味着此IP地址的主证书(testdomain.com的证书)不是由受信任的证书颁发机构颁发的(即它是自签名的)。

如果您遇到此类错误,请与您的托管服务提供商联系,以获取您网站的专用IP。获得专用IP后,即可在此IP中安装证书。在请求专用IP之前,您可以向您的Web主机验证它们是否支持SNI技术。

  • 未安装证书

确保您的证书已在服务器上正确安装。您应该注意,大多数安装检查程序无法正确显示已安装的证书,除非它已正确设置专用IP或SNI技术。

  • 通过cPanel或WHM安装通配符证书

如果通过*** cPanel或WHM ***仅为裸域安装通配符证书,则会出现公共名称不匹配警告,而尝试建立与发出通配符证书的域的子域的https连接。通配符证书应该涵盖同一级别的裸域名和子域。但是,如果通过*** cPanel或WHM ***为裸域安装通配符证书,则不会自动保护子域。如果使用共享IP(即使使用SNI技术),请求也无法找到具有匹配公共名称的证书,因此,请求将获取在请求解析的域名的IP地址下解析的主证书。

在专用IP的情况下,不匹配警告的细节可能会让人感到困惑,但过程是相同的 – 请求会将您的通配符证书作为主要证书,并将其视为不匹配的证书,作为子域名未在证书的正文中编码。

SSL证书常见名称不匹配

解决方案:由于cPanel和WHM的技术提取而发生此问题,有几种方法可以解决它:

a)通过WHM / cPanel为每个子域安装证书

b)如果您具有服务器的root访问权限,请直接在服务器上安装它来编辑VirtualHost文件。您可以在此处找到有关此问题的更多信息

您正在尝试访问IP地址

如果尝试为IP地址建立https连接,则会发生此错误。只能为FQDN(完全限定域名)颁发常规SSL证书。即使您有专用​​IP地址,也会显示公共名称不匹配,因为通过IP地址的https请求本身不包含服务器名称(域/子域名),因此无法避免尝试访问站点通过IP地址,作为域/子域名的常规证书。

发表评论

电子邮件地址不会被公开。 必填项已用*标注