ssl - 如果 CSR 中使用的 DNS 名称正在与要使用的机器关联,那么有效的 SSL 证书会导致证书错误吗?
问题描述
目前正在将现有的面向公众的站点从 Azure 移动到我们的内部网络。为了保持 SSL (https) 协议的有效性,我不得不为新站点所在的机器申请另一个证书。
我在系统上安装了证书,它说它安装成功,但该站点在 IE 中显示证书错误。
因此,我想知道是否使用 DNS 名称创建了 CSR 并且 DNS 尚未重定向到新位置;是显示证书错误的原因吗?
访问新服务器的唯一方法是通过外部 IP 地址,而不是通过 DNS 名称。
站点证书是否在创建期间绑定到它应该驻留的服务器的 DNS 名称,或者在生成 CSR(证书签名请求)时由实际机器的加密签名绑定?
还是两者兼而有之?
解决方案
访问新服务器的唯一方法是通过外部 IP 地址,而不是通过 DNS 名称。
我不完全确定你在问什么。但我对这个问题的解释是,您已经为某些 DNS 名称(即example.com
)创建了一个证书,但由于 DNS 名称尚不可用,因此尝试通过 IP 地址访问该站点。然后你想知道为什么浏览器会抱怨(很遗憾你的问题中没有包含一个错误)。
如果我的解释是正确的,那么浏览器错误的原因是 URL 中的主机名(即您使用的 IP 地址)与证书的主题(即 DNS 名称)不匹配。URL 中的名称与证书主题的这种验证是证书验证的重要部分。