Я устанавливаю сертификат SSL (RapidSSL) на Amazon AWS (балансировщик нагрузки).
Установка уже завершена, но когда я ее тестирую, то получаю:
Wrong certificate installed.
The domain name does not match the certificate common name or SAN.
Certificate information
Common name: ip-172-XX-XX-XXX
SAN:
Мой сертификат SSL предназначен только для https://app.domain.com, поэтому сертификат SSL был создан для app.domain.com
Изменить: после некоторого теста я получаю:
The certificate is self-signed. Users will receive a warning when accessing
this site unless the certificate is manually added as a trusted certificate to
their web browser. You can fix this error by buying a trusted SSL certificate
None of the common names in the certificate match the name that was entered
(app.domain.com). You may receive an error when accessing this site in a web
browser. Learn more about name mismatch errors.
Common name: ip-172-XX-XX-XXX
Organization: SomeOrganization
Location: SomeCity, SomeState, --
Valid from July 23, 2014 to July 23, 2015
Serial Number: 218621 (0x5566)
Signature Algorithm: sha256WithRSAEncrypt
Issuer: ip-172-XX-XX-XXX
Edit2: проверка сервера, который я нашел:
В папке / ssl / сертификаты
localhost.crt //this is the one giving me trouble
ca-bundle.crt
ca-bundle.trust.crt
Следует ли мне удалить localhost.crt?
Спасибо
Имя хоста, используемое в SubjectCN (необязательно, но обычно), и хотя бы одна запись в SubjectAN (обязательно) должны соответствовать имени, по которому вы ссылаетесь на VirtualHost (независимо от того, генерируете ли вы VirtualHost по имени (с использованием SNI) или по IP) . Кроме того, это имя хоста должно быть сгенерировано либо как основное имя хоста, либо как псевдоним в вашем / etc / hosts. Обратите внимание: это должно быть полное доменное имя, так как совпадение должно быть точным [1].
Если сертификат выпущен для «app.domain.com», ваше приложение должно прослушивать и отвечать на запросы для «app.domain.com». В целях тестирования вам будет полезно изменить имя хоста, видимое ОС, на «app.domain.com» (используя команду hostname и установив параметр «HOSTNAME» в файле «/ etc / hostname»).
1: Обратите внимание, что большинство удостоверяющих органов не будут выдавать сертификат для неквалифицированного имени хоста, так как у них нет возможности гарантировать, что имя хоста, за которое они ручаются и устанавливают свои отношения, действительно принадлежит человеку или организации, запрашивающим его, без компонента домена
Первый: Пожалуйста, не удаляйте свой localhost.crt. Если вы это сделаете, вы не сможете перезапустить сервер, и ваша веб-страница будет отключена. Если по какой-либо причине вы это сделаете, вам придется повторно сгенерировать новый файл localhost.crt из вашего закрытого ключа, используя следующую команду:
openssl req -new -x509 -nodes -sha1 -days 365 -key /etc/pki/tls/private/localhost.key > /etc/pki/tls/certs/localhost.crt
Второй: Если вы завершили процесс создания сертификата с помощью балансировщиков нагрузки, вам не нужно использовать AWS IAM или изменять свой ssl.conf файл. Отсутствует шаг, чтобы изменить набор записей домена. Если ваш домен размещен в AWS, перейдите на Маршрут 53 в Консоль управления EC2 и создайте набор записей. Это должно быть Наберите "А запись (не CNAME) с псевдонимом, указывающим на ваш Amazon Load Balancer (проверьте свой адрес во вкладке DNS в панели). Адрес должен быть примерно таким:
9999999999.eu-west-1.elb.amazonaws.com