SSL:无法从对等证书中获取公共名称

Question

对不起，我错了，有两件事必须强调：

The CA cert Common Name must not same to the server/client side cert
The server/client side cert's common name must be same

我正在尝试使用自签名证书作为HTTPS客户端证书。但是，存在一个“SSL:无法从对等证书中获取公共名称”的问题。

如您所见，服务器端证书包含公共名称，为什么会出现此问题？

以下是卷曲输出：

• 即将连接()到127.0.0.1端口443 (#0)

• 尝试127.0.0.1..。连接进入PEM通行证短语：
• 成功设置证书验证位置：
• /home/freeman/dev/git/ca_tools/ca_tools/ssl/CA/secure_ca.crt CAfile: CApath: /etc/ssl/certs
• SSLv3，TLS握手，客户你好(1)：
• SSLv3，TLS握手，Server (2)：
• SSLv3，TLS握手，CERT (11)：
• SSLv3，TLS握手，服务器密钥交换(12)：
• SSLv3，TLS握手，请求CERT (13)：
• SSLv3，TLS握手，服务器完成(14)：
• SSLv3，TLS握手，CERT (11)：
• SSLv3，TLS握手，客户密钥交换(16)：
• SSLv3，TLS握手，CERT验证(15)：
• SSLv3，TLS更改密码，客户你好(1)：
• SSLv3，TLS握手，完成(20)：
• SSLv3，TLS更改密码，客户你好(1)：
• SSLv3，TLS握手，完成(20)：
• 使用ECDHE-RSA-美学256-SHA的SSL连接
• 服务器证书：
• 主题: C=CN；ST=Beijing；L=Beijing；O=XiaoMi
• 开始日期: 2014-05-14 12:50:20格林尼治时间
• 届满日期: 2024-05-11 12:50:20格林尼治标准时间
• SSL:无法从对等证书中获取公共名称
• 关闭连接#0
• SSLv3，TLS警报，客户你好(1)：

下面是

#openssl x509 -in server.crt -text -noout

证书:数据:版本:1 (0x0)序列号: 15298562268347408844 (0xd44f6953eb0a1cc)签名算法: sha1WithRSAEncryption颁发者: C=CN，ST=Beijing，L=Beijing，O=OKK，OU=Test，CN=MyComp有效性：

Answer 1

试试CURLOPT_SSL_VERIFYHOST=0或curl -k

Answer 2

在不知道用于生成CSR的数据的情况下，DN的最后一个组件似乎不包含具有目标主机名的CN属性。通常，SSL库客户端将只检查与目标主机名相等的CN属性的第一个组件。我将反转DN顺序，并添加一个具有主机名的CN属性。

如果您提供更多关于您如何生成CSR的详细信息，我将很乐意帮助您了解如何修复它。

Answer 3

来自对等服务器证书的主题详细信息是：

主题: C=CN；ST=Beijing；L=Beijing；O=XiaoMi

签发人的详细资料如下：

C=CN，ST=Beijing，L=Beijing，O=OKK，OU=Test，CN=MyComp有效性

显然，这两者是不同的(如果应该有任何联系试图)，因为这是我从问题中理解的。

在任何情况下，就像在curl错误中看到的那样，公共名称属性丢失了。这可能是由于所提供的证书从未包含它。

建议您尝试从浏览器中打开证书并进行验证。