SSL域名不匹配（仅限IE9）

Question

您好，感谢您的帮助！

这是我安装了一个SSL证书（从godaddy到ec2实例托管的apache上）的问题。除IE9以外的所有情况下都可以正常工作。 IE9显示域不匹配错误。 Quayls示出了相同

https://www.ssllabs.com/ssldb/analyze.html?d=https%3A%2F%2Famplify-social.com&hideResults=on

二者均显示的domU-12-31-39-10-61-F2代替www.amplify-social.com的安全域是一个SAN

所有其他人显示正确的证书http://www.sslshopper.com/ssl-checker.html#hostname=www.amplify-social.com

我假设quayls用来判断不匹配的方法与IE9相同，但我不能为我的生活弄清楚如何补救它。

Answer 1

您明显地在服务器上使用多个证书，期望服务器名称指示，从而在启动连接时客户端请求特定的主机名。有些客户端不支持这个功能（Windows XP上的任何版本的Internet Explorer，至多版本7（至少）的Java），至多版本4.5（至少）的.Net的SslStream以及某些移动设备等等）都不支持此功能。

当这个扩展没有被客户端发送时，服务器将回退到它的默认证书。在这种情况下，它将退回到有效期为domU-...的证书。

可以使用OpenSSL的检查：

openssl s_client -servername your.server.name -connect your.server.name:443 

（尝试使用和不使用服务器名称选项。）

除非你实际上是在domU-...托管的东西为好，删除虚拟主机，并为您的主要网站默认的一个（或不要默认）。当然，如果您希望能够在同一IP地址（和端口）上为多个启用了SSL的虚拟主机提供服务，则会导致问题：没有SNI，您只能使用一个。