Apache SSL chrome 错误:NET::ERR_CERT_AUTHORITY_INVALID
Posted
技术标签:
【中文标题】Apache SSL chrome 错误:NET::ERR_CERT_AUTHORITY_INVALID【英文标题】:Apache SSL chrome error: NET::ERR_CERT_AUTHORITY_INVALID 【发布时间】:2019-12-22 05:18:58 【问题描述】:我正在尝试在我的 (wamp) apache 服务器上安装letsencrypt ssl 证书。在 Windows Server 2012 x64 机器上运行。
这些是我所做的确切步骤:
第 1 步。 openssl genrsa -out privatekeyfilename.key 2048 openssl req -new -key privatekeyfilename.key -sha256 -config myconf.cnf -out csrfilename.csr
步骤 2. 使用 csrfilename.csr 在 https://www.sslforfree.com/ 上生成 Letsencrypt 证书
第 3 步: 重命名 privatekeyfilename.key > my-domain.key 并放置在:C:\wamp\bin\apache\apache2.4.9\conf\certificate\ Letsencrypt 证书放置在同一文件夹中并命名为:my-domain.crt Letsencrypt CA Bundle 放在同一文件夹中并命名为:my-domain.ca-bundle
第 4 步: 调整 httpd-ssl 配置: C:\wamp\bin\apache\apache2.4.9\conf\extra\httpd-ssl.conf, C:\wamp\bin\apache\apache2.4.9\conf\original\extra\httpd-ssl.conf
将这些行添加到配置中并注释掉旧的:
SSLCertificateFile c:/wamp/bin/apache/apache2.4.9/conf/certificate/my-domain.crt SSLCertificateKeyFile c:/wamp/bin/apache/apache2.4.9/conf/certificate/my-domain.key SSLCertificateChainFile c:/wamp/bin/apache/apache2.4.9/conf/certificate/my-domain.ca-bundle
(myconf.cnf)
[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = NL
ST = Noord-holland
L = Amsterdam
O = JDJ
OU = IT
CN = *.my-domain.com
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = my-domain.com
DNS.2 = *.my-domain.com
我希望 ssl 证书能够正常工作,但它给出了错误:https://i.imgur.com/syuuVoy.pnghttps://i.imgur.com/2jA2aTB.png 有谁知道出了什么问题?谢谢。
编辑:由于 apache 2.4.8 SSLCertificateChainFile 已过时。 我将 my-domain.ca-bundle 的内容添加到 my-domain.crt 并注释掉 conf 文件中的 SSLCertificateChainFile。还是同样的错误。
还显示 ssl_error.log:
[Fri Aug 16 11:21:06.642778 2019] [ssl:warn] [pid 5256:tid 364] AH01909: my-domain.com:443:0 server certificate does NOT include an ID which matches the server name
[Fri Aug 16 11:21:06.814657 2019] [ssl:warn] [pid 5256:tid 364] AH01909: my-domain.com:443:0 server certificate does NOT include an ID which matches the server name
【问题讨论】:
简而言之:SSLCertificateChainFile
被忽略,如果您查看日志文件,也可能会出现问题。
@SteffenUllrich 我认为这不是问题所在。 ssl_error.log: [ssl:warn] [pid 3312:tid 464] AH01909: my-domain:443:0 服务器证书不包含与服务器名称匹配的 ID
@SteffenUllrich 和过时的 SSLCertificateChainFile 没有帮助。在 jay-dz.crt 文件中添加了下面的捆绑文件,但没有更改任何内容。
好的,它不是重复的。但是访问服务器时获得的证书是为 SRV01 颁发的自签名证书。我的猜测是,您在未显示的配置部分中的某处配置了这样的证书,并且这需要优先考虑(或者您显示的部分可能根本不包括在内)。这也解释了 error.log 中的警告。
@SteffenUllrich 感谢您的回答。这是我完整的 httpd-ssl.conf 文件:pastebin.com/raw/yT5nd9eP,它是我定义 SSLCertificateFile 的唯一地方。并且安装文件夹中没有其他证书。
【参考方案1】:
在 443 上运行了另一个程序。这导致了错误。 从路由器设置中删除它并且 ssl 工作。
【讨论】:
以上是关于Apache SSL chrome 错误:NET::ERR_CERT_AUTHORITY_INVALID的主要内容,如果未能解决你的问题,请参考以下文章
网站结帐在最新版本的 Chrome/Firefox 中不起作用; Apache SSL 密码问题
Apache 2.4 中的 SSL 证书错误以 gitlab domain.com/users/sign_in 结尾