Generar X509 ERR_CERT_COMMON_NAME_INVALID

Navega tus respuestas
0

Estoy intentando configurar el servidor https en python3, pero no pude generar un certificado y una clave correctamente.

Ese es el código del servidor: 

import http.server, ssl
server_address = ('localhost', 4443)
httpd = http.server.HTTPServer(server_address, http.server.SimpleHTTPRequestHandler)
httpd.socket = ssl.wrap_socket(httpd.socket,
                               server_side=True,
                               certfile='cert.pem',
                               keyfile='key.pem',
                               ssl_version=ssl.PROTOCOL_SSLv23)
httpd.serve_forever()

Así es como genero el certificado: 

$ openssl req -new -x509 -days 365 -nodes -out cert.pem -keyout key.pem

Establecí Nombre común en mysite.com

Luego hice un registro en el archivo hosts , para poder resolver mi host por nombre: 

127.0.0.1 www.mysite.com
127.0.0.1 mysite.com

E importe el certificado a la sección de CA raíz de confianza en los formatos *.pem y *.crt

Pero el navegador Chrome sigue mostrando un error

  

"ERR_CERT_COMMON_NAME_INVALID", "Falta el nombre alternativo del sujeto"

¿Hay algo que no entendí o entendí mal?

    
pregunta Andrey Smirnov 29.10.2017 - 22:55
fuente

1 respuesta

2

Use SAN o un navegador diferente.

La extensión SubjectAlternativeName identificada en el cuadro de diálogo de error, abreviada SAN y también llamada UCC = Certificado de Comunicación Unificada por Microsoft y algunas CA, ha sido el lugar preferido oficialmente para identificar su servidor durante aproximadamente una década, sustituyendo el uso de CommonName (CN ) como se hizo en el siglo pasado. Hace unos meses, Chrome (en la versión 58) comenzó a requerir SAN y rechazar solo CN; otros navegadores no lo hacen por ahora, pero pueden seguir su ejemplo en el futuro.

Especialmente si desea utilizar un certificado para mysite.com y www.mysite.com definitivamente use SAN. SAN le permite tener un certificado para ambos; CN no lo hace. Incluso si utiliza un comodín *.mysite.com en CN, coincide con www.mysite.com y multipedal.site.com pero NO site.com ; hay numerosas preguntas sobre este tema (búsquelas).

Consulte enlace o enlace

Para obtener más información sobre el 'truco' de crear un certificado con SAN en OpenSSL sin ponerlo en su configuración, vea
Proporcione subjectAltName para openssl directamente en la línea de comandos
Seguimiento a one-liner para crear una solicitud de certificado con SAN

    
respondido por el dave_thompson_085 30.10.2017 - 02:22
fuente

Lea otras preguntas en las etiquetas

¿Cómo asegurarme de que mi aplicación web esté protegida? [cerrado] ¿Es posible comprar varios dispositivos MFA de hardware con la misma clave?