George Asked: 2013-07-04 15:01:40 +0800 CST2013-07-04 15:01:40 +0800 CST 2013-07-04 15:01:40 +0800 CST IIS 6.0 SSL 证书 772 我在我们的一个网站上遇到了这个问题。我最近购买并更新了 SSL 证书,安装在我们的服务器上,运行 IIS 6.0: 现在,每次有人访问我们的网站时,我们都会收到这个(典型的)错误: 但是,当您单击证书本身时,它表示它是有效的: 我在这里不知所措。我在 IE、Firefox 和 Chrome 中对其进行了测试,结果相同。SSL证书颁发给正确的地址,顺便说一句。有任何想法吗? ssl 1 个回答 Voted Best Answer Falcon Momot 2013-07-04T18:57:49+08:002013-07-04T18:57:49+08:00 屏幕截图中的错误表明不是证书本身无效或无法验证或安装错误,而是 URI 的主机部分(例如,如果输入 IP 地址来访问,则为 DNS 名称或 IP 地址site) 与证书中的主题 CN(规范名称)或 SAN(主题备用名称)不匹配。唉,您已经删除了所有有助于隔离为什么会在您的情况下发生这种情况的信息,但是一般来说很容易解释。 如果为 颁发了证书www.example.tld,并且使用 访问该站点https://example.tld,则该证书将无效。反之亦然:如果它是为 颁发的example.tld,它在提交给 verify 时将不会验证https://www.example.tld。 克服这一问题的一种解决方案是 SAN 领域。这允许您指定证书对其有效的多个名称,以便您可以为您指定的每个域和子域提供它。但是,如果证书中没有提到名称(或者用户代理非常过时并且不理解 SAN),则证书无效。 通配符证书是该问题的第二种解决方案。他们将验证域的所有子域。例如,www.example.com、example.com和都可以有效地提供具有 SANmail.example.com的主题 CN 的证书。example.com*.example.com 站点的 IP 地址也可以是证书的主题 CN 或 SAN,即使使用类似https://192.0.2.1/. 提供商很少会这样做,除非在适当的 RIR 记录中或至少在 WHOIS 记录中将 IP 地址记录为分配给您或您的组织(而不是您的 ISP),否则没有人会这样做。 其中一件事将是您出示的证书不正确的原因。
屏幕截图中的错误表明不是证书本身无效或无法验证或安装错误,而是 URI 的主机部分(例如,如果输入 IP 地址来访问,则为 DNS 名称或 IP 地址site) 与证书中的主题 CN(规范名称)或 SAN(主题备用名称)不匹配。唉,您已经删除了所有有助于隔离为什么会在您的情况下发生这种情况的信息,但是一般来说很容易解释。
如果为 颁发了证书
www.example.tld,并且使用 访问该站点https://example.tld,则该证书将无效。反之亦然:如果它是为 颁发的example.tld,它在提交给 verify 时将不会验证https://www.example.tld。克服这一问题的一种解决方案是 SAN 领域。这允许您指定证书对其有效的多个名称,以便您可以为您指定的每个域和子域提供它。但是,如果证书中没有提到名称(或者用户代理非常过时并且不理解 SAN),则证书无效。
通配符证书是该问题的第二种解决方案。他们将验证域的所有子域。例如,
www.example.com、example.com和都可以有效地提供具有 SANmail.example.com的主题 CN 的证书。example.com*.example.com站点的 IP 地址也可以是证书的主题 CN 或 SAN,即使使用类似
https://192.0.2.1/. 提供商很少会这样做,除非在适当的 RIR 记录中或至少在 WHOIS 记录中将 IP 地址记录为分配给您或您的组织(而不是您的 ISP),否则没有人会这样做。其中一件事将是您出示的证书不正确的原因。