Apache SSL chrome 错误：NET::ERR_CERT_AUTHORITY_INVALID

Posted 2023-03-10

【中文标题】Apache SSL chrome 错误：NET::ERR_CERT_AUTHORITY_INVALID

【英文标题】：Apache SSL chrome error: NET::ERR_CERT_AUTHORITY_INVALID

【发布时间】：2019-12-22 05:18:58

【问题描述】：

我正在尝试在我的 (wamp) apache 服务器上安装letsencrypt ssl 证书。在 Windows Server 2012 x64 机器上运行。

这些是我所做的确切步骤：

第 1 步。 openssl genrsa -out privatekeyfilename.key 2048 openssl req -new -key privatekeyfilename.key -sha256 -config myconf.cnf -out csrfilename.csr

步骤 2. 使用 csrfilename.csr 在 https://www.sslforfree.com/ 上生成 Letsencrypt 证书

第 3 步： 重命名 privatekeyfilename.key > my-domain.key 并放置在：C:\wamp\bin\apache\apache2.4.9\conf\certificate\ Letsencrypt 证书放置在同一文件夹中并命名为：my-domain.crt Letsencrypt CA Bundle 放在同一文件夹中并命名为：my-domain.ca-bundle

第 4 步： 调整 httpd-ssl 配置： C:\wamp\bin\apache\apache2.4.9\conf\extra\httpd-ssl.conf, C:\wamp\bin\apache\apache2.4.9\conf\original\extra\httpd-ssl.conf

将这些行添加到配置中并注释掉旧的：

SSLCertificateFile c:/wamp/bin/apache/apache2.4.9/conf/certificate/my-domain.crt SSLCertificateKeyFile c:/wamp/bin/apache/apache2.4.9/conf/certificate/my-domain.key SSLCertificateChainFile c:/wamp/bin/apache/apache2.4.9/conf/certificate/my-domain.ca-bundle

(myconf.cnf)

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = NL
ST = Noord-holland
L = Amsterdam
O = JDJ
OU = IT
CN = *.my-domain.com
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = my-domain.com
DNS.2 = *.my-domain.com

我希望 ssl 证书能够正常工作，但它给出了错误：https://i.imgur.com/syuuVoy.pnghttps://i.imgur.com/2jA2aTB.png 有谁知道出了什么问题？谢谢。

编辑：由于 apache 2.4.8 SSLCertificateChainFile 已过时。 我将 my-domain.ca-bundle 的内容添加到 my-domain.crt 并注释掉 conf 文件中的 SSLCertificateChainFile。还是同样的错误。

还显示 ssl_error.log：

[Fri Aug 16 11:21:06.642778 2019] [ssl:warn] [pid 5256:tid 364] AH01909: my-domain.com:443:0 server certificate does NOT include an ID which matches the server name    
[Fri Aug 16 11:21:06.814657 2019] [ssl:warn] [pid 5256:tid 364] AH01909: my-domain.com:443:0 server certificate does NOT include an ID which matches the server name

【问题讨论】：

简而言之：SSLCertificateChainFile 被忽略，如果您查看日志文件，也可能会出现问题。

@SteffenUllrich 我认为这不是问题所在。 ssl_error.log: [ssl:warn] [pid 3312:tid 464] AH01909: my-domain:443:0 服务器证书不包含与服务器名称匹配的 ID

@SteffenUllrich 和过时的 SSLCertificateChainFile 没有帮助。在 jay-dz.crt 文件中添加了下面的捆绑文件，但没有更改任何内容。

好的，它不是重复的。但是访问服务器时获得的证书是为 SRV01 颁发的自签名证书。我的猜测是，您在未显示的配置部分中的某处配置了这样的证书，并且这需要优先考虑（或者您显示的部分可能根本不包括在内）。这也解释了 error.log 中的警告。

@SteffenUllrich 感谢您的回答。这是我完整的 httpd-ssl.conf 文件：pastebin.com/raw/yT5nd9eP，它是我定义 SSLCertificateFile 的唯一地方。并且安装文件夹中没有其他证书。

【参考方案1】：

在 443 上运行了另一个程序。这导致了错误。 从路由器设置中删除它并且 ssl 工作。