logo
21.09.2020 14:06
1
Zdravím, pomocí IIS jsem vytvořil certifikát domény, bohužel však chrome mi u daného certifikátu hlásí NET::ERR_CERT_COMMON_NAME_INVALID. Mohl by mi prosím někdo poradit jak problém vyřešit?

Děkuji

Co se právě děje na Webtrhu?

21.09.2020 14:32
2
Udělal sis self-signed certifikat. Buď si nainstaluj svojí CA k sobě, ale pokud je to veřejná aplikace, použij komerční certifikát nebo LE.
21.09.2020 14:38
3
chrome v tom je dost agresivní. LE si nemůžeš udělat pokud nepoužíváš public doménu a nemáš veřejnou ip adresu bez NATu.

Pokud tenhle tvůj certifikát z IIS exportuješ, otevřeš ho přes windows, dáš ikonku "nainstalovat" a poté ho umístíš do "Trusted Root Certification Authorities store" (netuším jak se to jmenuje v češtině). Pak mu bude už Chromě věřit, ale jen pokud je to certifikát pro neveřejnou doménu (např. pro localhost) v opačném případě bude křičet pokud certifikát bude mít dobu platnosti rok a déle.
21.09.2020 15:24
4
Certifikát je vydaný interní certifikační autoritou a je nainstalovaný pouze na vnitřním serveru, který slouží pouze k interním účelům (server není dostupný z venku). Kořenový certifikát mám nainstalovaný v kontejneru důvěryhodné kořenové certifikační autority. Ve firefoxu mi vše funguje v pořádku.
21.09.2020 15:51
5
a jaký kód chyby Chrome hlásí? Poslední dobou se mu nelíbí ledacos, např. roční délka certifikátu
21.09.2020 16:15
6
chrome hlásí toto https://pasteboard.co/Js7k091.png
21.09.2020 16:57
7
pravděpodobně se ti tedy neshoduje doména v prohlížeči a doména v certifikátu. Pokud v adresním řádku klikneš na vykřičník, ke konci nabídky máš položku "certifikát", tu otevři a uvidíš pro jakou doménu je vydaný certifikát.

Další důvod může být, že máš doménu se zakázanými znaky, třeba u těch vývojářských vidím třeba častou chybu typu https://test-server/, což je neplatná doména.
22.09.2020 15:25
8
Diky za reakci. Zjistil jsem ze vnitrni CA vydava certifikaty sifrovane pouze sha-1 a toto tusim uz chrome nepodporuje...jedinym resenim je sifrovani CA povysit na sha-2 nebo existuje imoznost jak chrome prinutit aby akceptoval sha-1 u internich certifikatu ve vnitrni siti? Dekuji
22.09.2020 15:47
9
hm, to netuším, už před pár lety jsme všude přesli na sha2. Na věci, které předělat není možné (staré routery, switche a jiné blackboxy) využíváme přes http proxy, která na jedné straně terminuje sha1 tls spojení a na druhé straně používá již nový certifikát. To je ale pro tebe asi moc komplikované.

Co si prostě udělat jiné certifikáty s sha2? To je podle mě jednodušší než si dělat MitM nebo používat starý prohlížeč či ho různě experimentálně upravovat, aby vzal i staté certifikáty.
22.09.2020 17:00
10
ano, jiný certifikát a sha2 by bylo krajním řešením.
18.10.2020 02:03
11
Původně odeslal Taps
Diky za reakci. Zjistil jsem ze vnitrni CA vydava certifikaty sifrovane pouze sha-1 a toto tusim uz chrome nepodporuje...jedinym resenim je sifrovani CA povysit na sha-2 nebo existuje imoznost jak chrome prinutit aby akceptoval sha-1 u internich certifikatu ve vnitrni siti? Dekuji
nepodpora SHA1 je i na úrovni operačního systému, takže prostě SHA1 nepoužívej.