Table of Contents
Одобрено
Эта инструкция поможет вам, если вы столкнетесь с ошибкой несоответствия имени удаленного сертификата.Ошибка «Несоответствие официального имени» обычно заключается в том, что общее имя (доменное имя), используемое в фактическом сертификате SSL, обычно не должно совпадать с именем на внутреннем адресе публикации браузера. Для сценария предположим, что сертификат получен, когда www.paypal.com и вы также получаете доступ к домену без «www» (https://paypal.com), вы получите ошибку конкретного сертификата SSL.
Обычно, когда вы являетесь администратором этого веб-сайта, вы хотите направлять любой трафик, но не «www», на хороший адрес, работая с «www», дополнительно получая сертификат SSL с «www» в нашем собственном имени. . Таким образом, вы можете полностью избежать, я бы сказал, коллизии имен. Некоторые центры сертификации стараются решить эту проблему, выпуская сертификат, предлагаемый сетями SAN.
У меня есть указанный выше код клиентской программы C # для проверки сертификата, вводящего 1 соединение SSL (с WCF)
private: bool ValidateClientCertificate (System.Security.Cryptography.X509Certificates.X509Certificate cert, System.Security.Cryptography.X509Certificates.X509Chain chain, System.Net.Security.SslPolicyErrors sss) _certificateValid = sslPolicyErrors == System.Net.Security.SslPolicyErrors.None? Правильно Неправильно; воссоедините вашу текущую правду;
Когда я вхожу в метод, могу ли я обнаружить, что sslPolicyErrors разрешает RemoteCertificateNameMismatch?
- Создайте хороший корневой CA MyCert на сервере 0
- Запросите лицензию подчиненного центра сертификации, созданную на сервере 2 и перенаправленную на компьютер 1 для выдачи.
- Установите прикрепленный сертификат MyCert CA (подчиненный CA) на сервере b
- Запросить сертификат функции на сервере 1 с сервера 2 с помощью MyCert CA
- Установите службы mycert Server 1 на сервере 1 и, кроме того, подключитесь к службе.
- Установите MyCert Root CA, а MyCert CA на клиенте, а затем прочтите, что он проверяет всю франшизу 3.
- Запустите потребителя и установите соединение, чтобы выбрать возможность использования службы на сервере 1.
Поскольку на практике сервер ServerMyCert Services Server 1 находился на сервере 1, где бы он ни был установлен, он, вероятно, действительно не должен получать ошибку SSL, верно? Обычно есть опция или что-то, что нужно обязательно установить в функциональном ваучере, который сначала проверяется на сервере?
Удаленный ваучер недействителен, о чем свидетельствует весь процесс проверки. Если при тестировании для установки SSL Netlink мы получаем исключение «Универсальный удаленный сертификат неисправен в соответствии с основным процессом проверки», то ваш ваучер на сервер, скорее всего, может быть помечен, хотя и самоподписан, или вы используете новый полностью неправильное имя хоста для ссылки на сайт
Насколько я понимаю программное обеспечение, почему имя может не совпадать с именем веб-сервера?
Изменить: я сам создаю новый новый функциональный сертификат и создаю CN для торговой марки с DNS-сервером. На каждом компьютере конечного пользователя есть файл хоста, который обычно указывает это имя cn на новый последний конкретный IP-адрес вашего устройства. Однако сохраняется ли у меня та же ошибка политики SSL из-за их метода ValidateClientCertificate? Что именно всегда требовалось в сертификате для успешного прохождения проверки?
Я вернулся к вам, @bartonjs , используя хорошее обсуждение. Судя только по вашей информации, мне удалось относительно успешно решить свою проблему.
Я правильно создал современную самоподписанную запись данных с указанным SAN (borderon-UX305FA.adrien.net). Затем я преобразовал эти учетные данные в структуру pfx, чтобы, в частности, она содержала ключ, связанный с использованием сертификата.
Я изменил наш собственный номер на стороне сервера, просто чтобы использовать сертификат в формате pfx:
Затем мне нужно запустить сервер как root, больше у меня будут проблемы с разрешениями, связанные с библиотеками OpenSSL.
После подключения к сети я проверил соответствие требованиям с помощью команды: openssl s_client -connect borderon-UX305FA.adrien.net:443
Одобрено
Инструмент восстановления ASR Pro — это решение для ПК с Windows, который работает медленно, имеет проблемы с реестром или заражен вредоносным ПО. Этот мощный и простой в использовании инструмент может быстро диагностировать и исправлять ваш компьютер, повышая производительность, оптимизируя память и улучшая безопасность в процессе. Больше не страдайте от вялости компьютера - попробуйте ASR Pro сегодня!
Я также проверил SAN на наличие сертификатов с помощью команды: openssl s_client -associate borderon-UX305FA.adrien.net:443 | openssl x509 -noout -text сообщения | grep-DNS:
Заключение:
Если я запускаю каждый клиент dotnet с помощью walk borderon-UX305FA.adrien.net , также известного как dotnet run 127.0.0.1 borderon-UX305FA.adrien.net , я получаю нумеровать теперь эту реакцию на вашем собственном сервере:
Я попробовал дополнительные тесты, остановив проверку официального текстового имени в коде сервера, когда все работает нормально. Я по большей части вижу сообщения, отправленные между клиентом или, возможно, сервером.
Но я не очень понимаю, почему у меня все еще есть новая проблема с сопоставлением вызовов.
// serverCertificate равен X509Certificate.CreateFromCertFile same (certificate);serverCertificate новый X509Certificate2 (сертификат, "mypassword")
ПОДКЛЮЧЕНО (00000003)Глубина означает 0 CN = borderon-UX305FA.adrien.net, emailAddress означает [email protected], O = пример компании, OU = exampleL block, = город, ST означает штат, C = США.Возврат по чеку: 1---Цепочка сертификатов nil s: /CN=borderon-UX305FA.adrien.net/[email protected]/O=Example Company / OU = Example Unit / L = City / ST = State / C = US i: /CN=borderon-UX305FA.adrien.net/[email protected]/O=Example Unit и L = City / ST равно State / C = USA.---Корпорация сервера / ou = образец сертификата----- СЕРТИФИКАТ ЗАПУСКА -----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 / CrmBztG5TMaawFmAYKDJxT4Kyz8bwYNr3CXsWWisBByPdP0gB + OlB1rwFWxXV / tK4R878BemI1So5icMfZd7T9cnJ9Z30uGRNppDqPJKQGH2qBsJGQ2nSRODxsW7 / 8gDB2eDMjeXTAQA + W7KZmGFdvqFX9PWQ5BY2fRqV2UKNAx6slFe5FNXnONmMP0J5wHLRtuFWAIBuxBmv360UFKRe7q1DviUg + VMVO4R2 + LYLDwR1 + MUJ8JhsQ6SgHsT6PPWYMb + v6OqHCTHj4pp / b или 87l2JpeNV0SMcXJagSu9YpaUor + rGPtXdSTiK38WVKnICl4oAU6D0NBj7UGpZT421oM0hrQULU36AG7 / xhWB2QTQmp9DzIBLdhf5LBX4wabNaaFDnjagPAsnbKuBcag2KJy1geQDtOrN3pGeHcJt6FNblOkpQjBQl4HmpQ05en5RZ5bOp23Jhm15pOhjYKL8dbUsKC4tB3ruRzICZnb + RRWoaCJOIREooinoFN5rSBYgdM / Xs2lichXWkb0NIxoSZqMzc / r2xJRejYy4ZM0W9 / JQEy72icNPSa7qPEhi6Me7 / sQJ6wpRDoY / 8mZQyQzZZXnADeOVAQ7d2ZS9YX6y2BIIPj81gOyEuKDAgMBAAGjKjAoMCYGA1UdEQQfMB2CG2JvcmRlcm9uLVVYMzA1RkEuYWRyaWVuLm5ldDANBgkqhkiG9w0BAQsFAAOCAgEAVOriFI4ddhIB4fdoMg9pAoWd0o6NrrRnEj4Bz7PLJGGuxLTs7CYL6Q + wgFhs0ZYZeSwiX0thCovt и Pz3Aif0YG5nNN / YY1afK8vOSwpCvZKdef5D9Yh4DdRUXXTvd3DvJ5 + DgHFTIhXs5ad + EgVRu6aF11V + wBqIKK / NPKNvmxdJgphweUWmj8UWLoech6GT9r3f5meRgymqEk0OF8Rb8fk9uVnFwRcFQLiM7FQGHfX7xIQawnz0F4axKrXYqHPP7nFXyXxjdoGXjQ7NZqWqq + rH2PgyYGarzjgmT5GodQIlClj3NADldTN9pYiX54 + JPQ9WIqND4nDJsIgtE1C9fuGJhlkjyOJ8LCls0wXXvWqir8HRgnjFukd или 0Z7Fh27szePDDmLgCd610F1ThqEvm6CTjIpvYZjdKtyBBxRm3CZ7eGfirEaFaj0dQQWrfTlwRkKC3i8RKyl6kbDe8Hj + p2Syr5toK7xoZU / + bM4XdC4kn3z2L5Px6OKSsI0em по сравнению с 8Z61nKCPU2PwN9P7cS + F4ENICIT / 7gqz7o10ppu3NcmrZGmx8jXpXEAI8 или dZLcE3xV5i4o0c + fuGR9 + OapsXuACqNorMhHGTfXsH - rtIbIV / QIHfkge2LxgX96RPVhKluT1crN / 6n + sEZMxcyx83AYmdhoaPELLY / quO9ZSJ + CLAE =----- КОНЕЦ СЕРТИФИКАТА -----subject=/CN=borderon-UX305FA.adrien.net/[email protected]/O=Example Компания или OU = Example Unit / L = City / ST = State / C = USissueer=/CN=borderon-UX305FA.adrien.net/[email protected]/OU=Example com o = example Unit / L = City / ST = State / C = US---Телефон CAL CA не был отправлен---Исследование рукопожатия SSL 1837 байт и запись 650 байтПроверка: ОК---Новое, TLSv1.2, шифрование AES256-GCM-SHA384Ключ, доступный на сервере, побитовыйПоддерживается безопасное повторное согласование 4096Сжатие: НЕТРасширение: НЕТНет согласования ALPNСеанс SSL: Протокол: TLSv1.2 Шифрование: AES256-GCM-SHA384 Идентификатор сеанса: 4230A1C019AF5C119694EB7947D09DE0648965851876D8BA6209A93FEA78F84D Идентификатор сеанса Ctx: Главный ключ: 079D70F0ACDC4F58F9A38FC87E73FD4BE5F619376159BD2732A6C994A80DD5D6CDFACC203384811F62FAAB01177E12CE Идентификация PSK: нет Идентификационный бит и PSK: Нет Идентификация SRP: нет Примечание о сроке действия нарушений правил TLS: 300 (секунд) Билет сеанса TLS: 0000 - пятьдесят один 9-й e8 0e 27 5b 2c-eb fc 8d a5 db 17 7e 19 13-й Q ... '[., ..... ~. 0010 - f5 40 ff 4c c5 dc d3 78-e5 65 ce 40 d3 B3 55 51 .V.L ... x ... at. 9.Q 0020 от 4c до 97 Electronic Arts покупает 100 b8 42 22 fb-8f b7 пятого оператора 89 44 69 2a f8 1f L..P.B ".... Di * .. 0030 - b5 a9 их конец двадцатых три df de 03 шестьдесят семь cd-f2 73 шестьдесят семь 25 61 33 d1 шестьдесят три ..3 .... s% ga4.c 0040! 56 10 08 7b девяносто еще 90 46 cd-23 90 f2 8d c7 41 62 7d V .... F. # .... Ab 0050 - a8 delaware 9c d6 70 b3 69 70-5d сорок шесть 14 95 25 f7 b2 f7 .... u.ip] F ...... 0060 Зона 1c 66 прогулка b6 04 bd 6b a3-46 eb пятьдесят один 8b 3d 22 2b 3b .f .... k.F.Q =.! +; 0070 - e5 7e e2 92 d4 2d 7d d1-50 удвоить a a4 26 34 диапазон ec 7a. ~ ...-}. P .. & 4..z 0080 3. b2 f3 0b 60 db fc 6b-2f fd e7 ae en tenant b2 3b 2b тридцать восемь ... X ... k / ....; + 7 0090-72 72 ff 9d fd c3 87 26-4c 1d e0 10 f9 d5 8-е dd три четверти ..... & L ....... Время начала: 1530018115 Тайм-аут: 7200 (секунд) Проверить код возврата: 0 (ок) Овладейте умопомрачительным секретом: нет
глубина равна 0 CN равно Borderon-UX305FA.adrien.net, emailAddress означает [email protected], O соответствует компании, когда дело доходит до примера OR = Пример объекта, L = Город, ST = Штат, C = мыВозврат чека: 1"
может ожидать подключения клиента ...Шифрование: Aes256 force 256Хеш: без принудительного 0Key Talk: RsaKeyX Force 0Протокол: Tls12Прошёл аутентификацию: действительно на каком сервере? ИстинныйIsigné: правдаЗашифровано: правдаСписок отозванных сертификатов подтвержден: Cert Truelocal буквально считается выданным C = US, S = State, L = City, OU = Example Unit, O = Example Company, [email protected], CN = borderon-UX305FA.adrien.net, вы должны быть действительны 26 июня, 2018 11:50:29 по поводу 23.06.2028 11:50:29.Удаленный сертификат недействителен.Вы можете узнать: действительно, напишите игру правильноМожет быть правдойТайм-аут удержания: только сообщение клиента ...Получать:Здравствуйте, отправьте сообщение.Ожидание клиентского подключения ...
Клиент подключен.Ошибка сертификата: RemoteCertificateNameMismatchИсключение: удаленный сертификат неприемлем в соответствии с вашей текущей процедурой проверки.Неудачная аутентификация - возможно, соединение закрыто
Программное обеспечение для ремонта ПК находится всего в одном клике — загрузите его прямо сейчас. г.
г.
