云锋NET::ERR_CERT_COMMON_NAME_INVALID

Question

我有一个S3托管静态网站和云前沿发行版。THere是53号路线中指向云前沿分布的A记录。创建发行版时，我接受证书的默认设置。也就是说，我没有输入证书ID或请求证书。当我尝试用Chrome浏览网站时，我会得到NET::ERR_CERT_COMMON_NAME_INVALID。

如何查看或修改默认证书的公共名称？它不会出现在证书管理器中。

Answer 1

这不是编程或开发，可能需要删除，但：

1. 按要求回答： 对于大多数curl构建(但不是微软提供的curl.exe，它使用curl -v https://host )，curl -v https://host将显示(服务器/叶)证书的主题和其他一些属性；CN=部分是CommonName。几乎所有的Linux和大多数其他Unix都会预先安装合适的curl；在Windows上，您可以找到并安装一个适用于Windows的非schannel版本(这可能不像我年轻时那么容易)，或者使用WSL (它为您提供Linux版本)。 如果您有OpenSSL，则echo Q | openssl s_client -connect host:443 (对于1.1.1以下的版本可能需要添加-servername host)将显示链中所有证书的主题和颁发者名称(验证后的名称可能与CA(s)中发送的证书不同，而不是叶)；您需要'0：‘行，或者在Server certificate / subject=上向下显示一两页的重复信息。同样，几乎所有Linuxes和Unixes都有OpenSSL；对于http://www.slproweb.com/products/Win32OpenSSL.html，您可以从http://www.slproweb.com/products/Win32OpenSSL.html获得一个端口，或者再次使用WSL。(而不是echo Q |，您可以在Unix上使用</dev/null，在Windows上使用<NUL。) 如果您有Java，keytool -printcert -sslserver host会显示很多关于证书链的信息；第一行Certificate #0 / ===== / Owner:就是您想要的。15或20年前，当Java被认为是未来的潮流时，它几乎随处可见；而今天却并非如此。我不会仅仅为了这个而安装Java，但是如果您出于任何更好的理由需要它，那么就去安装它吧。
2. 但你不想。 Chrome中的错误代码非常具有误导性。几十年前，使用(并验证) CommonName作为服务器主机名是标准的，或者至少是通常的约定。自2010年以来，所有公共CA以及大多数其他CA都转而使用SubjectAlternativeName aka SAN扩展。最初，如果没有SAN浏览器，浏览器继续接受CommonName，但从2017年起，Chrome只使用SAN，从来没有看过CommonName。因此，这个错误代码现在实际上意味着SAN不匹配或丢失了；CommonName很可能是正确的，即使修复错误，也不会修复Chrome错误。
3. 那么如何在CloudFront中修复SAN呢？我在那儿帮不上忙。

Answer 2

在Cloud中有一个设置，您可以将其放入SAN --它被称为“备用域名”。

我必须检查该证书，以确定它没有将mydomain.com作为备用名称--它所拥有的只是云端分布的域名。