Сертификат сервера не соответствует адресу сайта как исправить
Перейти к содержимому

Сертификат сервера не соответствует адресу сайта как исправить

  • автор:

«Возникла проблема с сертификатом безопасности этого веб-сайта» при попытке посетить защищенный веб-сайт в Internet Explorer

Internet Explorer 11 был окончательно отключен с помощью обновления Microsoft Edge в некоторых версиях Windows 10. Если для любого сайта, который вы посещаете, требуется Internet Explorer 11, его можно перезагрузить в режиме Internet Explorer в Microsoft Edge. Рекомендуется перейти на Microsoft Edge , чтобы начать пользоваться более быстрым, безопасным и современным браузером.

Проблемы

Пользователь, который пытается подключиться к защищенному веб-сайту с помощью Windows Internet Explorer, может получить следующее предупреждение:

Возникла проблема с сертификатом безопасности этого веб-сайта. Сертификат безопасности, представленный этим веб-сайтом, не был выдан доверенным центром сертификации.

Проблемы с сертификатами безопасности могут указывать на попытку вас подхватить или перехватить данные, отправляемые на сервер.
Мы рекомендуем закрыть эту веб-страницу и не продолжать работу с этим веб-сайтом.

Решение

Чтобы устранить эту проблему, организация, на которой размещен защищенный веб-сайт, может приобрести сертификат для каждого веб-сервера у стороннего поставщика. Кроме того, организация может установить центр сертификации Microsoft Enterprise в лесу Active Directory. Затем организация может использовать этот центр сертификации для создания сертификата для каждого веб-сервера.

Обратите внимание, что пользователи клиентских компьютеров, которые не принадлежат лесу Active Directory организации, могут посетить веб-сайт центра сертификации, чтобы скачать сертификат.

Обходное решение

Чтобы обойти эту проблему, установите самозаверяющий сертификат Microsoft Windows Small Business Server 2003 (Windows SBS) на клиентском компьютере. Для этого выполните следующие действия:

    В Windows Internet Explorer щелкните «Продолжить на этот веб-сайт» (не рекомендуется).

  • В Windows Vista та же проблема возникает и с самозаверяющие сертификаты. Однако возможность установки сертификатов недоступна, если вы не запустите Windows Internet Explorer с правами администратора. Для этого щелкните правой кнопкой мыши значок Internet Explorer и выберите команду «Запуск от имени администратора».
  • Когда клиентский компьютер подключается к веб-серверу, на котором выполняется Windows Server 2003, клиентский компьютер повторно использует сертификат центра сертификации. Клиентский компьютер не использует другой сертификат, подписанный центром сертификации.

Дополнительная информация

Эта проблема может возникнуть, если часы клиентского компьютера задано так, чтобы дата и время были позже даты окончания срока действия SSL-сертификата веб-сервера.

Дополнительные сведения о проблеме с сертификатом безопасности веб-сайта см. на следующих веб-сайтах Майкрософт:

Устранение проблем, связанных с SSL (сертификат сервера)

В этой статье описано, как устранять проблемы ssl, связанные только со службами IIS. Он охватывает сертификаты сервера, предназначенные для проверки подлинности сервера, и не охватывает сертификаты клиента.

Если для раздела Сертификаты клиента задано значение «Требовать», а затем возникают проблемы, это не та статья, которую следует ссылаться. Эта статья предназначена только для устранения неполадок с сертификатами SSL-сервера.

Важно знать, что каждый сертификат содержит открытый ключ (используется для шифрования) и закрытый ключ (используется для расшифровки). Закрытый ключ известен только серверу.

Порт по умолчанию для HTTPS — 443. Предполагается, что вы хорошо разбираелись в подтверждении SSL и процессе проверки подлинности сервера во время подтверждения SSL.

Средства, используемые в этом средстве устранения неполадок

Для устранения неполадок в различных сценариях используются следующие средства:

  • SSLDiag
  • Монитор сети 3.4 или Wireshark

Сценарии

При просмотре веб-сайта по протоколу HTTPS отображается следующее сообщение об ошибке:

Снимок экрана: страница браузера, на которой отображается сообщение

Первым предварительным требованием, которое необходимо проверить, является ли веб-сайт доступен по протоколу HTTP. Если это не так, скорее всего, существует отдельная проблема, которая не рассматривается в этой статье. Прежде чем использовать это средство устранения неполадок, необходимо, чтобы веб-сайт функционировал по протоколу HTTP.

Теперь предположим, что веб-сайт доступен по протоколу HTTP, а предыдущее сообщение об ошибке отображается при попытке перейти по протоколу HTTPS. Сообщение об ошибке отображается из-за сбоя подтверждения SSL. В следующих нескольких сценариях может быть много причин.

Сценарий 1

Проверьте, имеет ли сертификат сервера соответствующий закрытый ключ. См. следующий снимок экрана: диалоговое окно «Сертификат»:

Два снимка экрана: диалоговое окно

Разрешение

Если закрытый ключ отсутствует, необходимо получить сертификат, содержащий закрытый ключ, который по сути является . PFX-файл. Ниже приведена команда, которую можно выполнить, чтобы связать закрытый ключ с сертификатом:

C:\>certutil - repairstore my "[U+200E] 1a 1f 94 8b 21 a2 99 36 77 a8 8e b2 3f 42 8c 7e 47 e3 d1 33" 

Снимок экрана: командная консоль с синтаксисом certutil.

Если сопоставление прошло успешно, вы увидите следующее окно:

Снимок экрана: консоль команд с сообщением о том, что команда успешно завершена.

В этом примере 1a 1f 94 8b 21 a2 99 36 77 a8 8e b2 3f 42 8c 7e 47 e3 d1 33 — отпечаток сертификата. Чтобы получить отпечаток, выполните следующие действия:

  1. Откройте сертификат.
  2. Перейдите на вкладку Сведения .
  3. Прокрутите вниз, чтобы найти раздел отпечатка.
  4. Выберите раздел отпечатка и щелкните приведенный ниже текст.
  5. Нажмите клавиши CTRL + A , а затем CTRL + C , чтобы выбрать и скопировать его.

Снимок экрана: диалоговое окно

Команда certutil не всегда может быть выполнена успешно. В случае сбоя необходимо получить сертификат, содержащий закрытый ключ, из центра сертификации (ЦС).

Сценарий 2

В этом сценарии следует учитывать, что у вас есть сертификат сервера, содержащий закрытый ключ, установленный на веб-сайте. Однако вы по-прежнему видите ошибку, показанную в сценарии 1. Вы по-прежнему не можете получить доступ к веб-сайту по протоколу HTTPS.

Разрешение

  1. Скачайте и установите средство диагностики SSL на сервере.
  2. Если у вас есть сертификат, содержащий закрытый ключ, и вы по-прежнему не можете получить доступ к веб-сайту, попробуйте запустить это средство или проверка журналы системных событий для предупреждений или ошибок, связанных с SChannel. При запуске средства SSLDiag может появилось следующее сообщение об ошибке:

У вас есть закрытый ключ, соответствующий этому сертификату, но сбой CryptAcquireCertificatePrivateKey.

Снимок экрана: окно диагностики SSL. Сообщение о сбое выделено.

Кроме того, в журналах системных событий появится следующее предупреждение SChannel:

Event Type: Error Event Source: Schannel Event Category: None Event ID: 36870 Date: 2/11/2012 Time: 12:44:55 AM User: N/A Computer: Description: A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0x80090016. 
Event Type: Error Event Source: Schannel Event Category: None Event ID: 36870 Date: 2/11/2012 Time: 12:44:55 AM User: N/A Computer: A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0x8009001a. 

Снимок экрана: окно

  • Проверьте, работает ли веб-сайт с тестируемым сертификатом.
  • Создайте резервную копию существующего сертификата, а затем замените его самозаверяющий сертификат.
  • Попробуйте получить доступ к веб-сайту по протоколу HTTPS. Если это работает, то использованный ранее сертификат был поврежден, и его необходимо заменить новым рабочим сертификатом. Иногда проблема может быть связана не с сертификатом, а с издателем. В SSLDiag может возникнуть следующая ошибка: CertVerifyCertificateChainPolicy произойдет сбой с CERT_E_UNTRUSTEDROOT (0x800b0109) параметром , если сертификат корневого ЦС не является доверенным корневым.
  • Чтобы устранить эту ошибку, добавьте сертификат ЦС в хранилище «Доверенный корневой ЦС» в разделе Моя учетная запись компьютера на сервере. Вы также можете получить следующую ошибку:

    CertVerifyCertificateChainPolicy вернул ошибку -2146762480(0x800b0110).

    1. Откройте сертификат.
    2. Перейдите на вкладку Сведения .
    3. Выберите Изменить свойства. .
    4. На вкладке Общие убедитесь, что выбран параметр Включить все цели для этого сертификата , и что самое главное, в списке должна присутствовать проверка подлинности сервера .

    Снимок экрана: часть диалогового окна

    Сценарий 3

    Первые два сценария помогают проверка целостность сертификата. Убедившись в отсутствии проблем с сертификатом, будет решена масштабная проблема. Но что делать, если веб-сайт по-прежнему недоступен по протоколу HTTPS? Проверьте HTTPS-привязки веб-сайта и определите, какой порт и IP-адрес прослушивается.

    Разрешение

    1. Выполните следующую команду, чтобы убедиться, что ни один другой процесс не прослушивает SSL-порт, используемый веб-сайтом.
    netstat -ano" or "netstat -anob 

    Сценарий 4

    К настоящему времени вы можете быть уверены, что у вас есть правильный рабочий сертификат, установленный на веб-сайте, и нет других процессов, использующих SSL-порт для этого веб-сайта. Однако при доступе к веб-сайту по протоколу HTTPS по-прежнему может появиться сообщение об ошибке «Страница не отображается». Когда клиент подключается и инициирует согласование SSL, HTTP.sys выполняет поиск в конфигурации SSL пары «IP:Порт», к которой подключен клиент. Конфигурация SSLHTTP.sys должна включать хэш сертификата и имя хранилища сертификатов, прежде чем согласование SSL будет успешно выполнено. Проблема может быть связана HTTP.SYS SSL Listener с .

    Хэш сертификата, зарегистрированный вHTTP.sys , может иметь значение NULL или содержать недопустимый GUID.

    Разрешение

    1. Выполните следующую команду:
    IIS 6: "httpcfg.exe query ssl" IIS 7/7.5: "netsh http show ssl" 

    Примечание. HttpCfg является частью средств поддержки Windows и присутствует на диске установки.
    Ниже приведен пример рабочего и нерабочего сценария: Рабочий сценарий

    Конфигурация Setting
    IP 0.0.0.0:443
    Хэш
    GUID
    CertStoreName МОЙ
    CertCheckMode 0
    ОтзывFreshnessTime 0
    UrlRetrievalTimeout 0
    SslCtlIdentifier 0
    SslCtlStoreName 0
    Flags 0

    Нерабочий сценарий

    Конфигурация Setting
    IP 0.0.0.0:443
    Хэш c09b416d6b 8d615db22 64079d15638e96823d
    GUID
    CertStoreName МОЙ
    CertCheckMode 0
    ОтзывFreshnessTime 0
    UrlRetrievalTimeout 0
    SslCtlIdentifier 0
    SslCtlStoreName 0
    Flags 0
    httpcfg delete ssl -i "IP:Port Number" 
    httpcfg delete ssl -i 0.0.0.0:443 
    IIS 6: httpcfg query iplisten 
    IIS 7/7.5: netsh http show iplisten 

    Если список IP-прослушивания пуст, команда возвращает следующую строку:

    HttpQueryServiceConfiguration completed with 1168. 

    Если команда возвращает список IP-адресов, удалите каждый IP-адрес из списка с помощью следующей команды:

    httpcfg delete iplisten -i x.x.x.x 

    Примечание. Перезапустите IIS после этого с помощью net stop http /y команды .

    Сценарий 5

    Несмотря на все это, если вы по-прежнему не можете просматривать веб-сайт по ПРОТОКОЛу HTTPS, запишите трассировку сети с клиента или сервера. Отфильтруйте трассировку по протоколу SSL или TLS, чтобы просмотреть трафик SSL.

    Ниже приведена трассировка сети snapshot нерабочего сценария:

    Снимок экрана: окно фильтра отображения с snapshot трассировки.

    Ниже приведена трассировка сети snapshot рабочего сценария:

    Снимок экрана: окно фильтра отображения, показывающее snapshot успешной трассировки.

    Это метод просмотра трассировки сети. Необходимо развернуть сведения о кадре и узнать, какой протокол и шифр был выбран сервером. Выберите «Server Hello» в описании, чтобы просмотреть эти сведения.

    В нерабочем сценарии клиент был настроен только для использования TLS 1.1 и TLS 1.2. Однако веб-сервером был IIS 6, который может поддерживаться до TLS 1.0, поэтому подтверждение завершилось сбоем.

    Проверьте разделы реестра, чтобы определить, какие протоколы включены или отключены. Вот путь:

    DWORD «Enabled» должно иметь значение «1». Если задано значение 0, протокол отключен.

    Например, SSL 2.0 по умолчанию отключен.

    Сценарий 6

    Если все проверено и у вас по-прежнему возникают проблемы с доступом к веб-сайту по протоколу HTTPS, скорее всего, это обновление, которое приводит к сбою подтверждения SSL.

    Корпорация Майкрософт выпустила обновление для реализации SSL в Windows:

    MS12-006: Vulnerability in SSL/TLS could allow information disclosure: January 10, 2012 

    Это обновление может повлиять на клиентов, использующих интернет-Обозреватель или приложение, которое использует интернет-Обозреватель для выполнения ЗАПРОСОВ HTTPS.

    На самом деле были внесены два изменения для устранения уязвимости раскрытия информации в SSL 3.0 или TLS 1.0. Обновление MS12-006 реализует новое поведение в schannel.dll, которое отправляет дополнительную запись при использовании общего цепочки блочного шифра SSL, когда клиенты запрашивают такое поведение. Другое изменение произошло в Wininet.dll, в составе накопительного обновления за декабрь для Internet Обозреватель (MS11-099), поэтому интернет-Обозреватель будут запрашивать новое поведение.

    Если проблема существует, она может проявляться как сбой подключения к серверу или неполный запрос. Internet Обозреватель 9 и более поздних версий может отображать ошибку «Интернет-Обозреватель не удается отобразить веб-страницу». В предыдущих версиях Интернет-Обозреватель может отображаться пустая страница.

    Fiddler не использует дополнительную запись при записи и пересылке HTTPS-запросов на сервер. Таким образом, если Fiddler используется для отслеживания трафика HTTPS, запросы будут успешно выполнены.

    Разделы реестра

    • Глобальное отключение нового поведения SSL.
    • Глобально включить его, или
    • (По умолчанию) включите его для клиентов SChannel, которые выбирают новое поведение.

    Для интернет-Обозреватель и клиентов, использующих компоненты Обозреватель Интернета, в разделе FeatureControl FEATURE_SCH_SEND_AUX_RECORD_KB_2618444 есть раздел реестра, определяющий, выбирает ли новое поведениеiexplore.exe или любое другое именованное приложение. По умолчанию эта функция включена для интернет-Обозреватель и отключена для других приложений.

    Дополнительная информация

    • Настройка SSL в IIS
    • Отсутствующий сервер Hello в подтверждении TLS
    • Поддержка протоколов SSL/TLS в Windows

    Как сделать соответствие сертификата сервера и URL?

    На только что созданном сайте выскакивает сообщение, что подключение не защищено. В адресной строке перечеркнут значок замка и https, также написано, что идентификационные данные этого сайта не проверены. Сертификат сервера не соответствует URL. Как это исправить?

    Отслеживать
    68.2k 225 225 золотых знаков 80 80 серебряных знаков 223 223 бронзовых знака
    задан 16 янв 2016 в 20:31
    11 1 1 серебряный знак 3 3 бронзовых знака

    Ну так может добавите описание — что за сертификат вы ставите, какой серв, настройки и прочее. Может у вас сертификат такой

    16 янв 2016 в 21:26

    2 ответа 2

    Сортировка: Сброс на вариант по умолчанию

    Доменное имя сайта должно совпадать с указанным в сертификате (Common Name), проще всего бесплатно получить и обновлять подписанный с помощью доверенного центра сертификации через LetsEncrypt: https://letsencrypt.org/

     git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt/ ./letsencrypt-auto 

    Также можно будет перечислить и другие доменные имена (alias), которые могут использоваться на данном сервере.

    Сертификат сервера не соответствует адресу сайта как исправить

    Данное сообщение означает, что на домене установлен сертификат, который был выдан для другого домена.

    Например, если сертификат выдан для домена mysite.ru , он не будет работать для домена shop.mysite.ru .

    Все бесплатные SSL-сертификаты распространяются только на сам домен и поддомен «www»: mysite.ru и www.mysite.ru . Для остальных поддоменов они не работают.

    Не нашли ответ? Задайте свой вопрос в нашу службу поддержки

  • Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *