错误:“主题备用名称缺失”或 NET::ERR_CERT_COMMON_NAME_INVALID 或“您的连接不是私密连接”

在传输层安全性 (TLS) 连接期间,Chrome 浏览器会进行检查以确保网站连接使用的是有效、受信任的服务器证书。

Chrome 58 及以上版本只会使用 subjectAlternativeName 扩展程序(而不是 commonName)来匹配域名和网站证书。主题备用名称可以是域名,也可以是 IP 地址。如果证书没有正确的 subjectAlternativeName 扩展程序,系统就会向用户发送 NET::ERR_CERT_COMMON_NAME_INVALID 错误消息,告知他们连接并非处于私密状态。如果证书缺少 subjectAlternativeName 扩展程序,系统就会在 Chrome DevTools 的“安全”面板中显示警告,告知用户主题备用名称缺失。

部分公钥基础架构 (PKIs)、旧版系统和旧版网络监控软件会使用不包含 subjectAlternativeName 扩展程序的证书。如果您在使用上述任意内容时遇到问题,请与软件供应商或管理员联系,要求对方生成新的证书。

对于 Microsoft® Windows®,您可以使用 PowerShell Cmdlet New-SelfSignedCertificate 并指定 DnsName 参数。

对于 OpenSSL,您可以使用 subjectAltName 扩展程序来指定主题备用名称。

如有必要,您可以针对 Chrome 65 以下版本设置 EnableCommonNameFallbackForLocalAnchors 政策。这样一来,Chrome 就会在缺少 subjectAlternativeName 扩展程序的情况下使用证书的 commonName 来匹配主机名。

本文是否对您有帮助?
您有什么改进建议?