Servidor asegurado con un certificado de una raíz CA personalizada: ¿Está bien en Firefox pero KO en Chrome? [duplicar]

2

La configuración

Para proteger la intranet muy pequeña de la compañía ACME , que contiene dos servidores privados, foo-server y bar-server , he creado con OpenSSL:

  • El Certificado de CA raíz
  • El Certificado de CA intermedio
  • El archivo ca-chain , que contiene la CA intermedia, pero no la CA raíz
  • El certificado foo-server
  • El servidor de barra certificado

He agrupado la cadena y los certificados y he configurado un NGINX en foo-server y un APACHE en bar-server.

Luego instalé la CA raíz en mi Firefox local y en mi Chrome local.

Tenga en cuenta que no he usado ningún SAN: por ahora, los certificados se emiten solo para nombres de servidor (por ejemplo, foo-server ), NO para sus nombres completos (por ejemplo, foo-server.ACME.local ).

El resultado

Cuando abro https://foo-server/ y https://bar-server/ ,

En FIREFOX

Todo está OK . Los veo asegurados (como debería ser) porque el servidor envía la cadena correctamente y tengo el certificado raíz de CA instalado.

En CROMO

Recibo el siguiente error en ambos, pero los nombres comunes están perfectamente bien:

  

NET::ERR_CERT_COMMON_NAME_INVALID

La pregunta

Ya que soy realmente novato en esto (soy un desarrollador que juega con los juguetes SysAdmin), no me sorprendería descubrir que el problema es algo ingenuo para ti, pero desconocido para mí.

¿Cuál podría ser el culpable? ¿Qué podría verificar? ¿Quizás Chrome no reconoce un nombre de servidor sin dominio?

    
pregunta Andrea Ligios 25.10.2018 - 16:15
fuente

1 respuesta

1

Chrome requiere que SAN esté presente en el certificado.

    
respondido por el papajony 25.10.2018 - 16:30
fuente

Lea otras preguntas en las etiquetas