Chrome NET::ERR_CERT_COMMON_NAME_INVALID при наличии SAN

0

1

Добрый день. Chrome ругается на самоподписанный доверенный сертификат. IE говорит что всё норм. Интернет и в теме Как генерировать сертификат так чтобы не было ошибки NET::ERR_CERT_COMMON_NAME_INVALID в Chrome пишут, что причина в отсутствии SAN, но у меня SAN есть и всё равно не работает. При чём ранее я уже делал сертификат на IP и в хроме всё работало, но старый сертификат был утерян, а новый не заработал. Я извиняюсь, но почему-то не получилось у меня прилепить тег cut, он вроде есть, а вроде и не работает.

openssl x509 -inform der -in 111.cer -text -noout Certificate: Data: Version: 3 (0x2) Serial Number: 18:cc:73:60:af:da:d5:be:4f:b1:22:be:62:c0:07:67 Signature Algorithm: sha1WithRSAEncryption Issuer: CN = 109.95.219.210 Validity Not Before: Apr 28 07:37:18 2021 GMT Not After : Apr 28 07:47:19 2031 GMT Subject: CN = 109.95.219.210 Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:a1:a9:bb:c8:36:2c:a9:58:98:79:a9:ce:e8:e8: a2:d6:2f:00:db:31:f1:2b:8e:8d:bd:50:67:1b:d0: 9c:3d:63:31:f6:9b:29:c8:9a:d0:ad:97:9a:07:b3: e8:eb:89:fe:88:8b:cf:f1:0d:04:1a:fd:29:02:a8: 0e:a2:94:57:a8:c3:64:f0:fb:fa:71:50:0b:a0:cc: 04:a0:ac:3a:31:af:a8:98:66:01:e9:cd:f5:da:17: 63:88:6e:6b:65:03:d1:26:db:73:5d:ae:3a:80:32: fd:a2:25:ed:ec:d7:75:15:e6:10:ea:f2:a8:e3:cc: 00:db:16:5d:01:14:53:a7:a3:8f:55:9d:00:81:69: 0a:de:00:4b:0e:53:dc:86:b7:ff:7d:66:f3:8a:57: 55:81:32:de:c1:c9:bb:7e:5b:60:15:6b:6a:2e:6c: 55:23:e6:d7:97:c7:10:d6:fb:f0:f8:ed:ef:ef:ea: 6a:34:f4:0d:e2:19:83:24:ff:3d:84:82:77:ae:9f: 33:9a:d9:0d:e2:7a:63:12:67:7d:c7:2a:7a:a9:21: 45:53:3f:64:99:96:c8:79:a7:bd:cc:92:22:1d:af: 2a:25:a8:0c:4f:fc:38:34:68:2e:57:78:0a:53:24: ce:b1:af:3a:b8:1f:cb:0e:11:82:49:b4:fe:48:0c: e6:71 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Client Authentication, TLS Web Server Authentication X509v3 Subject Alternative Name: DNS:109.95.219.210, DNS:192.168.66.1 X509v3 Subject Key Identifier: 0F:59:21:97:A8:AE:BC:D8:57:A9:1F:20:ED:37:4B:51:15:5F:73:AF Signature Algorithm: sha1WithRSAEncryption 84:45:5b:38:32:79:47:d0:a8:56:2d:af:45:10:9c:19:86:f0: 01:07:e5:29:9d:dd:55:22:8f:e2:ca:26:02:f5:d8:3c:8c:1b: d6:39:fc:8c:f3:75:c5:da:28:6b:c1:a8:f4:c7:a4:94:2e:68: ac:37:05:74:f5:d5:30:2e:f5:12:e5:1b:65:19:18:b2:c8:cf: 8e:e0:4d:1e:0e:77:87:94:57:fe:15:c3:f7:fb:4b:cc:60:00: ba:71:ae:7d:51:bc:72:d1:ac:fc:de:3a:55:ba:15:20:04:4f: 01:6c:d5:ef:13:3d:aa:c2:47:6b:f0:94:33:ec:66:14:4b:cb: 3f:2a:e2:bf:8a:2d:ca:0a:13:8f:f3:69:38:e2:0d:27:7a:3c: 99:ca:3c:f1:9a:09:41:86:9b:dd:d3:0f:7e:85:85:67:ca:79: 19:d9:10:01:33:08:f4:ad:32:0f:3a:ef:fe:4a:77:7e:21:c2: 59:23:a1:75:93:52:d1:41:ce:ef:80:94:eb:ac:f8:3b:5b:33: c7:c3:51:44:fe:ef:f7:da:bd:22:fe:c1:7f:34:d4:d0:a8:f1: 31:c9:28:75:d7:db:dc:fc:48:2d:94:f5:27:3a:e9:95:87:e6: f8:74:f2:35:4e:88:47:80:31:68:8c:17:ae:1d:b5:6b:37:92: 59:0c:b2:f8

Ссылка

←	git как добавить в игнор много файлов

BIND 9.11.4, баг

→

Покажи выхлоп openssl s_client на нужный тебе сайт(и не забудь обернуть в теги code)

Pinkbyte ★★★★★
(12.05.21 14:21:17 MSK)

Раз уж используешь IP-адреса, то и указывай их в SAN как «IP:109.95.219.210, IP:192.168.66.1» вместо «DNS:109.95.219.210, DNS:192.168.66.1»

bigbit ★★★★★
(12.05.21 14:29:43 MSK)

Ответ на: комментарий от Pinkbyte 12.05.21 14:21:17 MSK

 openssl s_client -connect 109.95.219.210:443
CONNECTED(00000130)
Can't use SSL_get_servername
depth=0 CN = 109.95.219.210
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = 109.95.219.210
verify return:1
---
Certificate chain
 0 s:CN = 109.95.219.210
   i:CN = 109.95.219.210
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = 109.95.219.210

issuer=CN = 109.95.219.210

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1479 bytes and written 419 bytes
Verification error: self signed certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 87287CABBB1445F9814FC72C5403A24DB21E4BCCC812011E7963F22A61396F80
    Session-ID-ctx:
    Master-Key: 2479A79D10A3D9F425C5A6169BB8A5866D13A01D85DDCA115FD03D288C7D52C8DD6EDB1EA05FABF747B7985549A3F59D
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 40 e7 27 63 95 73 56 2a-de b6 80 af 77 04 42 93   @.'c.sV*....w.B.
    0010 - c2 15 52 53 da 9f 17 e0-df 25 96 d1 32 bf 3f a7   ..RS.....%..2.?.
    0020 - bc 63 14 17 5a 78 8d ec-f3 b6 ac 2b 72 e1 bd d0   .c..Zx.....+r...
    0030 - 33 b5 cc a3 4d 71 47 30-b3 b8 d1 b4 7f 54 dc f5   3...MqG0.....T..
    0040 - 26 07 46 1b 82 15 f2 eb-82 2b de 20 fe 81 5e ac   &.F......+. ..^.
    0050 - e1 23 c2 3c 63 3c 87 00-64 09 23 37 41 c9 04 0d   .#.<c<..d.#7A...
    0060 - 53 41 f0 62 29 7b df cc-76 ad bd e0 92 db 65 f2   SA.b){..v.....e.
    0070 - c3 5d 1a 20 b6 62 5f 5d-6c 1d 70 81 72 55 c3 dc   .]. .b_]l.p.rU..
    0080 - 78 56 b9 23 af d1 26 51-f3 33 ed 5a f7 95 4b 7f   xV.#..&Q.3.Z..K.
    0090 - 88 26 98 cd 94 69 61 ac-02 c1 e9 6f f2 fe 7e 95   .&...ia....o..~.

    Start Time: 1620819582
    Timeout   : 7200 (sec)
    Verify return code: 18 (self signed certificate)
    Extended master secret: no
---
closed

Lurker-beta
(12.05.21 14:43:06 MSK) автор топика

Ответ на: комментарий от bigbit 12.05.21 14:29:43 MSK

Я думал об этом, но IE-то всё устроило. А как сгенерировать сертификат на IP повершелом я не разобрался. Как генерировал в прошлый раз уже не помню.

Lurker-beta
(12.05.21 15:01:30 MSK) автор топика

Ответ на: комментарий от Lurker-beta 12.05.21 15:01:30 MSK

Что с того, что IE все устроило? У тебя ведь в Chrome не работает.

bigbit ★★★★★
(12.05.21 15:36:11 MSK)

Ответ на: комментарий от bigbit 12.05.21 15:36:11 MSK

Ну я решил что и так сойдёт, раз IE принял. А чего хром не устраивает я хз. Не факт что именно это.

Lurker-beta
(12.05.21 15:49:20 MSK) автор топика

Ссылка

Ответ на: комментарий от bigbit 12.05.21 15:36:11 MSK

Хотя сейчас попробовал зайти по имени. В результате chrome ругается точно так-же, а IE начал ругаться. Наверно chrome действительно не понимает такой сертификат.

Lurker-beta
(12.05.21 15:52:40 MSK) автор топика