Fix: Das Serverzertifikat enthält KEINE ID, die mit dem Servernamen übereinstimmt

Wenn Sie versuchen, SSL auf einem Server zu konfigurieren, auf dem Apache oder eine andere ähnliche Webhosting-Technologie ausgeführt werden soll, wird möglicherweise eine Fehlermeldung angezeigt, die besagt, dass das Serverzertifikat KEINE ID enthält, die mit dem Servernamen übereinstimmt. Dies ist technisch gesehen nur eine Warnung und Sie könnten sich theoretisch darum herumarbeiten.

Es ist eine viel bessere Idee, eine kleine Fehlerbehebung durchzuführen, damit die Dinge wieder wie gewohnt funktionieren. Sobald Sie den Servernamen und das Zertifikat abgeglichen haben, sollten Sie beim nächsten Aktualisieren des Systems keinen dieser Schritte wiederholen müssen. Möglicherweise müssen Sie einige Dinge neu generieren, wenn eine einfache Dateibearbeitung keine Probleme behebt. Sobald Sie dies getan haben, müssen Sie die Dateien nicht mehr weiter konfigurieren.

Methode 1: Bearbeiten der httpd [dot] conf-Datei

Schauen Sie sich zunächst die an Datei, die sich möglicherweise an einer etwas anderen Stelle befindet, wenn Sie Apache unter Fedora, Red Hat oder CentOS ausführen. Debian- und Ubuntu-Server sollten es an dieser ersten Adresse haben. Suchen Sie nach Text, der das Serverzertifikat enthält und KEINE ID enthält, die mit der Warnmeldung zum Servernamen übereinstimmt.

Möglicherweise werden nach jedem Teil der IP-Adresse 443 oder eine andere Nummer ausgegeben, aber keine weiteren SSL-Probleme. In diesem Fall haben Sie Apache möglicherweise nicht mitgeteilt, welche Ports abgehört werden sollen. Lauf
und suchen Sie eine Zeile mit der Aufschrift Listen 80. Fügen Sie darunter Listen 443 oder eine andere Portnummer hinzu, die Sie möglicherweise benötigen. Sobald Sie die Datei gespeichert und geschlossen haben, können Sie sie verwenden um den httpd-Prozess neu zu starten.

Diejenigen, auf denen Ubuntu- oder Debian-Server ausgeführt werden, verfügen möglicherweise nicht über diese Datei, oder sie finden sie möglicherweise vollständig leer, im Gegensatz zu denen, die einige Versionen von Fedora oder Red Hat Enterprise Linux verwenden. In diesem Fall verwenden
zum Bearbeiten der Textdatei, die zum Hinzufügen von Ports zum Abhören erforderlich ist.

In vielen Fällen hätte dies das Problem beheben sollen. Wenn nicht, überprüfen Sie alle relevanten Netzwerkprobleme, bevor Sie die Zertifikatsituation überprüfen.

Methode 2: Neue Zertifikate neu generieren

Diese Warnmeldungen können auch angezeigt werden, wenn Sie mit abgelaufenen Zertifikaten gearbeitet haben, die Sie selbst signiert haben. Wenn Sie sie regenerieren müssen, versuchen Sie es mit
und suchen Sie nach zwei Zeilen mit der Bezeichnung Datei und Schlüsseldatei. Hier erfahren Sie, wo sich der Speicherort der Zertifikatschlüsseldatei beim Erstellen eines SSL-Zertifikats befindet.

Wenn Sie mit einer professionellen Unterzeichnerfirma zusammenarbeiten, die offizielle World Wide Web-Zertifikate bereitstellt, sollten Sie die spezifischen Anweisungen Ihrer Lizenzierungsorganisation befolgen. Andernfalls müssen Sie sudo openssl req -x509 -nodes -days 365 -newkey rsa: 2048 -keyout KeyFile -out File Ersetzen Sie KeyFile und File durch den Text, den Sie aus dem vorherigen Befehl cat erhalten konnten. Sie sollten den Speicherort von zwei verschiedenen Dateien gefunden haben, die als Ein- und Ausgabe für die Zertifikate dienen.

Angenommen, sie sind veraltet, sollte dies ausreichen, um den Fehler zu beheben. Möglicherweise müssen Sie den Dienst jedoch neu starten, bevor keine Warnungen mehr an Sie ausgegeben werden.

Sie können auch etwas mehr über die Zertifikate erfahren, die Sie derzeit installiert haben, um Sie bei der Fehlerbehebung zu unterstützen. Sie können ausführen, um festzustellen, welcher Name derzeit in Ihrem Zertifikat enthalten ist, um sicherzustellen, dass er übereinstimmt openssl s_client -showcerts -connect $ {HOSTNAME}: 443 Sie müssen jedoch Ihren tatsächlichen Hostnamen in Klammern setzen. Ersetzen Sie die 443-Nummer, wenn Sie Probleme mit einem anderen Port haben.

Wenn Sie nicht die Möglichkeit haben, mehrere Zertifikate auf demselben Gerät zu installieren und von derselben IP-Adresse aus zu bedienen, müssen Sie sie ausführen openssl s_client -showcerts -connect $ {IP}: 443 -servername $ {HOSTNAME} Ersetzen Sie die IP durch Ihre tatsächliche IP und geben Sie den Hostnamen ein. Möglicherweise müssen Sie 443 erneut durch eine andere Ziffer ersetzen, um Ihrem spezifischen Anwendungsfall zu entsprechen.

Beachten Sie, dass Sie sicherstellen müssen, dass der richtige Hostname als Alias ​​oder allgemeiner Name angegeben wird, wenn der CSR überhaupt erstellt wurde.