-नेट :: ERR_CERT_COMMON_NAME_INVALID ’से छुटकारा नहीं मिल सकता है, क्रोम-प्रमाणित प्रमाणपत्रों के साथ क्रोम में त्रुटि


19

वेब पर कई सवाल हैं जहां लोगों को आंतरिक नेटवर्क पर उपयोग के लिए स्व-हस्ताक्षरित प्रमाण पत्र स्थापित करने में कठिनाई हो रही है।

बस कुछ लिंक करने के लिए:
Chrome को स्व-हस्ताक्षरित लोकलहोस्ट प्रमाणपत्र स्वीकार करने के लिए Chrome Chrome स्व-हस्ताक्षरित लोकलहोस्ट प्रमाणपत्र
स्वीकार करना
, Chrome 58 StartCom प्रमाणपत्र में काम करने वाले Opensl के साथ स्व-हस्ताक्षरित प्रमाणपत्र बनाना
त्रुटि: ERR_CERT_AUTHORITY-INVALID

मैं उनमें से हर एक के माध्यम से चला गया है, लेकिन अभी भी (net::ERR_CERT_COMMON_NAME_INVALID).त्रुटि से छुटकारा नहीं मिल सकता है ।

इसके बाद के चरण:

  • सर्वर पर कुंजी और प्रमाणपत्र पीढ़ी

    openssl req \          
    -newkey rsa:2048 \
    -x509 \
    -nodes \
    -keyout file.key \
    -new \
    -out file.crt \
    -subj /CN=Hostname \
    -reqexts SAN \
    -extensions SAN \
    -config <(cat /etc/ssl/openssl.cnf \
        <(printf '[SAN]\nsubjectAltName=DNS:192.168.0.1')) \
    -sha256 \
    -days 3650
    
  • सुरक्षित कनेक्शन के लिए नए उत्पन्न प्रमाण पत्र और कुंजी फ़ाइल का उपयोग करने के लिए सर्वर प्रक्रिया (अपाचे) की स्थापना

  • Chrome देव उपकरण के माध्यम से https://192.168.0.1:3122 पर नेविगेट करके और निर्यात विकल्प का उपयोग करके क्लाइंट से सर्वर पर प्रमाणपत्र फ़ाइल निर्यात करना
  • ज्ञात प्रमाणपत्र प्राधिकारियों की सूची में CA को जोड़ना (फेडोरा 26 पर) का उपयोग करना
    • certutil
    • sudo cp file.crt /etc/pki/ca-trust/source/anchors; sudo upate-ca-trust
  • क्रोम को पुनः आरंभ करना

मैं भी के लिए विभिन्न मूल्यों की कोशिश की है CNकी तरह ऊपर क्षेत्र: hostname, common.name.com, Common Name,192.168.0.1

इस सब के बाद भी जब मैं https://192.168.0.1:3122 पर नेविगेट करता हूं तो त्रुटि बनी रहती है और मुझे नहीं पता कि मैं क्या कर रहा हूं।

पाठ प्रतिनिधित्व इसके जैसा दिखता है:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            9e:ae:33:24:3a:2d:2b:e2
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = Hostname
        Validity
            Not Before: Oct 28 20:18:06 2017 GMT
            Not After : Oct 26 20:18:06 2027 GMT
        Subject: CN = Hostname
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:a4:80:6c:3a:1b:5e:c4:e6:f6:7d:a5:be:d6:cd:
                    d9:23:bd:1a:b1:e6:f1:e3:b0:76:47:37:a3:d8:b0:
                    60:44:23:c3:8a:58:1c:c3:0a:99:3d:42:32:ca:8b:
                    ec:31:9d:a8:df:6c:13:43:e6:78:12:b8:24:04:5a:
                    9f:6e:11:24:2a:56:e3:20:36:78:a4:cc:ed:45:7c:
                    a3:c1:36:7b:25:f6:6b:2d:01:59:02:74:8b:7a:13:
                    ec:83:63:90:2e:a0:a3:aa:23:de:ea:f0:8e:1f:99:
                    b9:50:b1:5f:64:e4:c9:91:c0:0c:56:15:3c:c0:ff:
                    0f:bf:e1:af:7a:bf:51:40:37:b0:34:20:95:a1:05:
                    14:k2:35:20:e8:98:48:65:ad:26:cc:de:a2:50:48:
                    77:8c:e2:7a:d5:bd:83:96:86:ef:20:79:2f:15:a3:
                    07:48:f4:1f:c7:9d:a1:4b:bd:ee:47:83:51:f3:09:
                    27:ed:b7:09:c8:56:40:0c:68:25:92:d8:62:dc:14:
                    6c:fa:f1:e3:93:1b:79:3c:58:9c:53:69:ff:6a:0f:
                    ee:4c:9f:8e:22:2d:62:6b:b3:ae:22:d6:e3:d0:bd:
                    06:43:a7:c3:e1:1e:23:07:61:b0:4e:64:14:92:0c:
                    5b:f1:a8:c5:29:67:64:7d:65:10:b9:60:41:b8:3b:
                    1y:1f
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:192.168.0.1
    Signature Algorithm: sha256WithRSAEncryption
         11:65:6d:86:04:7f:5a:b0:ce:b2:6e:95:7e:03:8c:fe:a9:d0:
         81:2c:6f:50:63:2e:91:77:79:cd:27:32:b0:19:2b:ac:ea:c0:
         4b:f7:56:d9:be:34:54:f1:a6:1d:bc:d0:3b:bb:bf:90:0e:2d:
         1d:83:28:97:8e:f8:37:5d:3e:00:5a:cd:3d:36:5d:c4:5d:a8:
         7e:a4:59:f0:91:3d:af:3d:28:03:3e:78:3b:5b:0a:fb:24:34:
         02:a2:09:ec:d6:0c:58:63:ab:69:26:5e:fe:1d:1f:19:54:0f:
         68:4e:31:f9:de:1e:de:86:81:3f:b7:62:c5:67:02:05:a2:7a:
         03:f4:b5:3b:ba:c4:ba:26:8e:a2:ee:1c:ef:69:63:07:b0:97:
         fd:a8:42:e2:11:6d:de:b5:70:a5:4a:62:d2:62:d9:5b:17:f4:
         d5:cd:6f:71:75:dd:35:33:55:52:2e:30:29:f8:42:ec:b9:d3:
         82:85:a1:e7:f6:f5:90:dd:cb:07:15:a7:44:70:1c:93:e6:ec:
         03:3a:be:41:87:3c:f0:a4:88:a5:65:d9:29:2c:78:de:90:b8:
         6a:8b:99:6e:d0:e5:8c:08:a4:71:51:fd:1d:e1:8c:0c:17:d5:
         b0:31:fc:7f:99:23:dd:1a:c4:0b:45:17:68:88:67:c6:22:df:
         2b:ac:ea:c0

कृपया ध्यान दें कि इस तरह के उद्देश्यों के लिए एसएसएल / टीएलएस प्रमाणपत्र स्थापित करने का यह मेरा पहला समय है। कृपया सलाह दें कि त्रुटि से कैसे छुटकारा पाया जाए।


अपने प्रश्न के लिए अपने प्रमाण पत्र का एक पाठ प्रतिनिधित्व जोड़ें। का उपयोग करें openssl x509 -noout -text -in <filename>
गैरेथ.रेड

मैंने पाठ प्रतिनिधित्व जोड़ा है।
आशीष कुमार सिंह

मुझे लगता है, Chrome को उम्मीद है कि IP पता SAN एक्सटेंशन में IP पते के रूप में एनकोडेड होगा, DNS नाम नहीं।
Crypt32

जवाबों:


25

Chrome 58+ अब सेरेट्स में सामान्य नाम ( CN) से मेल नहीं खाता है ।

अब यह SANइसके बजाय Subject वैकल्पिक नाम ( ) का उपयोग करता है ।

SANउचित DNSया IPप्रविष्टि होना चाहिए ।

  • जब DNS का उपयोग किया जाता है, तो यह एक resolvable FQDN नाम होना चाहिए।
  • जब एक आईपी पते का उपयोग किया जाता है, तो इसे SANश्रृंखला के भीतर ही स्पष्ट रूप से निर्दिष्ट किया जाना चाहिए ।

उस ने कहा, यह काम करना चाहिए:

openssl req \
-newkey rsa:2048 \
-x509 \
-nodes \
-keyout file.key \
-new \
-out file.crt \
-subj /CN=Hostname \
-reqexts SAN \
-extensions SAN \
-config <(cat /etc/ssl/openssl.cnf \
    <(printf '[SAN]\nsubjectAltName=DNS:hostname,IP:192.168.0.1')) \
-sha256 \
-days 3650

1
विशेष रूप से, यह tools.ietf.org/html/rfc6125#section-5.7.3.1 के कारण है जो बताता है कि "X.509 प्रमाणपत्रों के साथ TLS प्रमाणीकरण के लिए, DNS नामस्थान से एक पहचान जरूरी प्रत्येक विषय के खिलाफ जाँच की जानी चाहिए। प्रकार dNSName का विस्तार प्रमाण पत्र में। यदि ऐसा कोई एक्सटेंशन मौजूद नहीं है, तो प्रमाणपत्र के विषय क्षेत्र में पहचान (सबसे विशिष्ट) सामान्य नाम की तुलना होनी चाहिए। " इसलिए, यदि कोई SAN मौजूद है तो CN की जाँच नहीं की जाती है।
जेसन मार्टिन

7
मुझे सही है अगर मैं गलत हूँ, लेकिन क्रोम अब उन प्रमाणपत्रों को स्वीकार नहीं करता है जो सामान्य नाम से आते हैं। यहां तक ​​कि अगर एक SAN मौजूद नहीं है, तो CN की जाँच नहीं की जाती है। तो SAN अनिवार्य लगता है।
23

@krisFR सही है क्योंकि मैंने पहले ही प्रमाणपत्र के साथ कोशिश की थी बिना SAN एक्सटेंशन जो असफल रहा। IP फ़ील्ड निर्दिष्ट करना समाधान था।
आशीष कुमार सिंह

1
जीवन रक्षक। विंडोज पर इसे आज़माने वाले किसी के लिए, साइगविन यहाँ खुलता है। इसके बाद कॉपी की प्रतिलिपि बनाता है। यहाँ:। \ _
होस्टहोस्ट के

पूरी तरह से काम किया! इस प्रक्रिया के साथ प्रमाण पत्र जोड़ना था: corvil.com/kb/…
yota
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.