Chrome сообщает, что SSL недействителен, но сертификат действителен

введите здесь описание изображения Я создал интерфейс, размещенный на www.example.com, с помощью netlify. Внешний интерфейс выполняет вызовы API на адрес балансировщика нагрузки, размещенный на AWS. С помощью Netlify я установил запись A, чтобы server.example.com указывал на балансировщик нагрузки. В Amazon Certificate Manager я успешно импортировал сертификат для example.com и server.example.com, создав записи CNAME в Netlify.

Однако, когда я захожу на server.example.com в браузере, он правильно загружает мой Express Server, но в браузере отображается Not Secure, несмотря на то, что он обслуживается по https. В нем говорится, что сертификат недействителен.

Мне интересно, как сделать сертификат действительным на server.example.com - любая помощь будет очень признательна, так как я боролся с этим уже два дня.

Спасибо!


netlify ssl amazon-web-services https ssl-certificate
person a94    schedule 05.04.2020    source источник
comment
Откройте инструменты разработчика в Chrome и перейдите на вкладку безопасности. Проверьте сертификат и узнайте, почему сертификат показа Chrome недействителен   -  person Yan    schedule 06.04.2020
comment
Или дайте нам реальное доменное имя, о котором идет речь, чтобы мы могли его посмотреть.   -  person Michael - sqlbot    schedule 06.04.2020
comment
можете ли вы подтвердить, что получаете доступ к своему серверу через server.example.com, а не через http   -  person Arun K    schedule 06.04.2020
comment
@Yan Я обновил вопрос скриншотами - там говорится, что сертификат отсутствует, но прямо под ним есть кнопка для просмотра сертификата, и когда я нажимаю на просмотр сертификата, он показывает мне, что сертификат действителен.   -  person a94    schedule 06.04.2020
comment
@ Майкл-sqlbot, конечно, спасибо !! drawafterdark.com / server.drawafterdark.com   -  person a94    schedule 06.04.2020
comment
@ArunK - Я ввожу https в URL-адрес, вы это имеете в виду?   -  person a94    schedule 06.04.2020
comment
да. Вы выбрали сертификат для слушателя балансировщика нагрузки.   -  person Arun K    schedule 06.04.2020
comment
Также вы можете отключить SSL на балансировщике нагрузки. Балансировщик нагрузки будет получать трафик через SSL, а затем отправлять трафик через не-ssl на экспресс. это то, чем я делаю большую часть времени.   -  person Arun K    schedule 06.04.2020

Ответы (1)


arrow_upward
5
arrow_downward

Проблема в том, что сертификат CN (общее имя) - drawafterdark.com, и вы используете его с server.drawafterdark.com. Сертификат действителен, но клиент (Chrome) покажет, что сертификат недействителен, поскольку имя хоста не соответствует CN. Вы должны либо получить сертификат для server.drawafterdark.com, либо сертификат с подстановочным знаком *.drawafterdark.com.

Вы также можете добавить server.drawafterdark.com к альтернативному имени субъекта SAN. Затем мы проверим его как для server.drawafterdark.com, так и для drawafterdark.com

person Yan    schedule 06.04.2020
comment
Ты удивительный! Я не понимал, что мне нужно связать SSL субдомена отдельно с балансировщиком нагрузки. Благодаря тонну!! - person a94; 06.04.2020
comment
Большой! Чтобы сертификат был принят клиентом, он должен доверять подписывающему органу, а имя хоста должно соответствовать CN и / или альтернативному DNS или использовать подстановочный знак. Вам просто нужно сгенерировать ключ / сертификат и импортировать его в конфигурацию LB. Удачного кодирования! - person Yan; 06.04.2020
comment
Также браузеры в настоящее время игнорируют часть CN. Что имеет значение, так это расширение SAN. - person Patrick Mevzek; 06.04.2020