Genera X509 ERR_CERT_COMMON_NAME_INVALID

0

Sto provando a configurare il server https su python3, ma non sono riuscito a generare correttamente un certificato e una chiave.

Questo è il codice del server:

import http.server, ssl
server_address = ('localhost', 4443)
httpd = http.server.HTTPServer(server_address, http.server.SimpleHTTPRequestHandler)
httpd.socket = ssl.wrap_socket(httpd.socket,
                               server_side=True,
                               certfile='cert.pem',
                               keyfile='key.pem',
                               ssl_version=ssl.PROTOCOL_SSLv23)
httpd.serve_forever()

Ecco come genero il certificato:

$ openssl req -new -x509 -days 365 -nodes -out cert.pem -keyout key.pem

Ho impostato Nome comune in mysite.com

Poi ho creato un record in hosts file, in modo da poter risolvere il mio host per nome:

127.0.0.1 www.mysite.com
127.0.0.1 mysite.com

E importa il certificato nella sezione CA attendibile in *.pem e *.crt formats

Ma il browser Chrome continua a mostrare un errore

"ERR_CERT_COMMON_NAME_INVALID", "Subject Alternative Name missing"

C'è qualcosa che ho perso o frainteso?

    
posta Andrey Smirnov 29.10.2017 - 22:55
fonte

1 risposta

2

Utilizza SAN o un altro browser.

L'estensione SubjectAlternativeName identificata nella finestra di dialogo di errore, abbreviata SAN e anche chiamata UCC = Unified Communication Certificate di Microsoft e alcune CA, è stato il posto ufficialmente preferito per identificare il server per circa un decennio, sostituendo l'uso di CommonName (CN ) come fatto nel secolo scorso. Alcuni mesi fa, Chrome (alla versione 58) ha iniziato a richiedendo SAN e rifiutando solo CN; altri browser non lo fanno per ora, ma potrebbero seguirne l'esempio in futuro.

Specialmente se vuoi usare un certificato per mysite.com e www.mysite.com usa sicuramente SAN. SAN ti consente di avere un certificato per entrambi; CN no. Anche se utilizzi un carattere jolly *.mysite.com in CN, corrisponde a www.mysite.com e multipedal.site.com ma NON site.com ; ci sono numerosi Q su questo tema (cercali).

Vedi link oppure link

Per ulteriori informazioni sul "trucco" di creare cert con SAN in OpenSSL senza metterlo nella tua configurazione, vedi
Fornisci subjectAltName su openssl direttamente sulla riga di comando
Follow-up su one-liner per creare una richiesta di certificato con SAN

    
risposta data 30.10.2017 - 02:22
fonte

Leggi altre domande sui tag