以不同主题名称续期的证书

Question

我们的申请中有一个证书到期，我们更新了证书。使用新的拇指打印更新配置文件后，有一个服务正在失败，根据事件查看器，它无法找到更新的证书。

通过与旧证书的比较，我们发现主题名称不匹配。对那个老证书来说

CN = xxx.xxx.xxx

OU = xx.xx.xx

O= xx.xx.xx

L= xx.xx.xx

S= xx

C= XX

新证书是这样的

CN = xxx.xxx.xxx

CN值在两种情况下都是相同的。就像OU，O，L，S和C这样的其他细节在新的版本中缺失了。当服务正在检查证书时，这些是否重要？

Answer 1

如果您的应用程序行为像浏览器，或者使用标准SSL库，它只关心与所需主机名匹配的CN (或SubjectAltName)。

如果您的应用程序是可公开访问的，请尝试将ssllabs.com的SSL检查器指向它。一个常见的问题是丢失/不正确的中间证书，它会破坏某些客户端。

失败的客户端也可能不信任用于更新服务器证书的根证书。