根证书导入浏览器任然显示证书验证失败原因

文章目录

  • 一、登陆测试网站
  • 二、导入根证书
  • 三、根证书导入后
  • 四、错误
    • 3.1 ERR_CERT_AUTHORITY_INVALID
    • 4.2 ERR_CERT_COMMON_NAME_INVALID

一、登陆测试网站

输入网址发现浏览器提示您的连接不是私密连接。
错误ERR_CERT_AUTHORITY_INVALID
根证书导入浏览器任然显示证书验证失败原因_第1张图片

二、导入根证书

先下载根证书,下载过程略,然后导入
浏览器中输入:
chrome://settings/certificates
根证书导入浏览器任然显示证书验证失败原因_第2张图片
有时候发现导入证书的时候无法选择自己下载证书,可以按照下面操作根证书导入浏览器任然显示证书验证失败原因_第3张图片

三、根证书导入后

错误:ERR_CERT_COMMON_NAME_INVALID
根证书导入浏览器任然显示证书验证失败原因_第4张图片
获取服务器证书
使用命令

openssl x509 -in 服务器证书 -text -noout | grep DNS

由于服务器证书没有设置dns域名导致认证失败

四、错误

3.1 ERR_CERT_AUTHORITY_INVALID

“ERR_CERT_AUTHORITY_INVALID” 是浏览器显示的SSL证书错误信息之一。它通常表示浏览器检测到访问的网站使用的SSL证书不受信任,可能有以下几个原因:

  1. 证书发行机构不受信任: SSL证书是由证书发行机构(Certificate Authority,简称CA)签发的。如果网站的SSL证书是由不被浏览器信任的、或者是自签名的CA签发的,浏览器就会提示这个错误。

  2. 证书已过期: SSL证书都有一个有效期限,一旦超过这个期限,浏览器就会认为证书无效。

  3. 证书主题与域名不匹配: SSL证书通常是与特定的域名(或者通配符域名)绑定的。如果证书的主题与当前访问的域名不匹配,就会引发这个错误。

  4. 证书链不完整: SSL证书通常是以证书链(Certificate Chain)的形式存在的,其中包含了网站证书、中间证书和根证书。如果证书链不完整,即缺少了中间证书或根证书,浏览器也会报这个错误。

  5. 证书被吊销: 有时,SSL证书可能因为某种原因被吊销,比如证书持有者的私钥泄露,或者证书信息被篡改等。浏览器会检查证书是否被吊销,如果是的话,就会显示这个错误。

要解决这个问题,网站管理员通常需要采取以下措施:

  • 使用受信任的CA签发证书: 确保SSL证书是由受信任的证书发行机构签发的,比如Symantec、Comodo、Let’s Encrypt等。

  • 保持证书有效期内: 定期更新SSL证书,确保它没有过期。

  • 确保证书主题与域名匹配: 确保SSL证书的主题与你的域名匹配。如果你使用了通配符证书,它可以匹配子域名。

  • 包含完整的证书链: 确保SSL证书链是完整的,包含了网站证书、中间证书和根证书。证书发行机构通常提供了完整的证书链文件。

  • 避免证书被吊销: 确保证书的私钥得到妥善保管,避免证书被吊销。

如果你是网站的访问者,而不是管理员,遇到这个错误时最好不要继续访问网站,因为这可能意味着网站的安全性受到威胁。

4.2 ERR_CERT_COMMON_NAME_INVALID

“ERR_CERT_COMMON_NAME_INVALID” 错误通常表示SSL证书的"Common Name"(通用名称)字段与当前正在访问的域名不匹配。这个错误是由于SSL证书的通用名称与正在访问的域名不一致引起的。

SSL证书的通用名称是证书上指定的一个域名,它用于指示该证书适用于哪个域。如果你使用的是HTTPS协议,浏览器会验证网站的SSL证书,确保它的通用名称与你访问的域名匹配。

造成这个错误的可能原因包括:

  1. 证书配置错误: 证书可能被配置为适用于特定的域名,但是它正在被一个不同的域名使用。

  2. 多域名证书问题: 如果你使用的是多域名证书(通常称为通配符证书或者Subject Alternative Name证书),确保证书上列出了你正在访问的确切域名。

  3. 自签名证书问题: 如果你使用的是自签名证书,确保在生成证书时,你正确地指定了通用名称。

  4. 中间人攻击(Man-in-the-Middle Attack): 在某些情况下,攻击者可能会介入你和服务器之间的通信,使用了一个无效的证书。这种情况下,你的浏览器会检测到证书的通用名称不匹配,并给出相应的错误。

如果你是网站的管理员,解决这个问题的方法通常包括:

  • 购买或申请合适的SSL证书: 确保你的SSL证书与你的域名完全匹配。如果你有多个子域名,可以考虑使用通配符证书或者Subject Alternative Name证书。

  • 正确配置证书: 在生成或申请SSL证书时,确保你提供了正确的通用名称和域名信息。

  • 避免中间人攻击: 使用受信任的CA签发证书,避免被中间人攻击干扰。

如果你是访问者,最好避免继续访问该网站,因为这可能表示网站的安全性受到威胁。

你可能感兴趣的:(openssl,https,ssl,网络协议)