Erro “Certificado do servidor RSA CN não corresponde ao nome do servidor” do Apache

3

Eu tenho uma instalação do Apache com alguns vhosts baseados em nome e um certificado SSL com CN = maindomain.com e Nomes Alternativos de DNS para todos os domínios (sub) vhosts.

No entanto, essa configuração fornece avisos nos logs no formulário:

[Fri Jan 03 16:52:38 2014] [warn] RSA server certificate CommonName (CN) 'maindomain.com' does NOT match server name!?
[Fri Jan 03 16:52:38 2014] [warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)

Durante o trabalho, devo dizer que os vhosts SSL baseados em nome são irrelevantes porque o certificado é para todos os vhosts. Além disso, eu diria que o CN corresponde ao nome do servidor principal. Existe alguma maneira de corrigir isso e limpar os logs?

A configuração destilada é a seguinte:

Servername maindomain.com

<VirtualHost *:80>
    ServerName www.maindomain.com
    DocumentRoot /var/www/www.maindomain.com/public_html/
</VirtualHost>
<VirtualHost *:443>
    ServerName www.maindomain.com
    Include ssl.vhost.conf
    DocumentRoot /var/www/www.maindomain.com/public_html/
</VirtualHost>

<VirtualHost *:80>
    ServerName altdomain.com
    DocumentRoot /var/www/altdomain.com/public_html/
</VirtualHost>
<VirtualHost *:443>
    ServerName altdomain.com
    Include ssl.vhost.conf
    DocumentRoot /var/www/altdomain.com/public_html/
</VirtualHost>
# More vhosts in the same way, sometimes tld's sometimes subdomains

E ssl.vhost.conf da seguinte forma:

SSLEngine ON
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM

SSLCertificateFile      /etc/certificates/maindomain.com.crt
SSLCertificateKeyFile   /etc/certificates/maindomain.com.key
SSLCertificateChainFile /etc/certificates/ca-intermediate.crt
SSLCACertificateFile    /etc/certificates/ca.crt
    
por dtech 05.01.2014 / 13:09

1 resposta

2

Não tenho certeza se o Apache pode ler SANs. Isso ainda está na lista de tarefas deles. Acho que é por isso que é apenas um aviso que pode ser ignorado com segurança e não tenho certeza se ele pode ser corrigido. Pode depender da sua distro. Alguns dizem que a remoção de default_host corrige esse problema, mas, novamente, pode ser para aqueles sem SANs.

    
por 24.08.2014 / 15:41