google-chrome - 带有 SubjectAlternativeName (SAN) 的证书在 Google Chrome 中给出了 ERR_CONNECTION_RESET

Question

有一个非面向公众的应用程序。我正在尝试确保没有与 HTTPS 相关的警告/错误。

• 我在将证书与 SAN 字段(由受信任的 CA 签名)放在一起后收到的错误是 Web 应用程序根本不会加载，即专门 Google Chrome(最新)抛出 ERR_CONNECTION_RESET。这是我得到的唯一错误。 Firefox/Safari 运行良好。

• 相比之下，带有 SAN 字段的自签名证书不会出现损坏的 HTTPS 错误(与 SAN 相关的警告)；我不会谈论由于证书是自签名的而导致的其他错误。

• 我看到的一个异常情况是证书链中的根证书(向上一级；总共有 2 级深度)，如果是受信任的 CA 签名证书，则没有任何 SAN 字段

• 我还没有尝试修复该部分(不确定是否可以修复，所以不会多说)，即将 SAN 字段附加到根证书。在我这边采取更多行动之前，我想在这里谈谈它。

• 应用程序(需要 SAN 证书)是非公开的，即 SAN 字段的 DNS 条目包含一个不可公开解析的域地址(到此为止应该不是问题我的浏览器能解决吗？)。

任何类型的见解都非常有帮助。请建议是否需要澄清。

附言

一些更新:

• 我想测试 openssl 生成的带有 X509 扩展(SAN， key 用法)的自签名 CA 是否会出错。有趣的是，它没有给出 Chrome 错误。它工作正常(除了自签名错误，这不是 atm 关注的问题)。
• 在 Windows 操作系统中打开证书文件并检查扩展名后，自签名证书的Key Usage 是 Key Encipherment, Data Encipherment (30) 并且被标记为非关键，但是，对于 CA 签名(Microsoft Active Directory 证书服务)，它是数字签名、 key 加密 (a0)，并且标记为关键。
• 为了排除这是否是 Key Usage 被标记为关键的问题，我生成了一个带有 X509 扩展名的自签名证书(再次使用 openssl)标记为关键。有趣的是，它也运行良好。同样在这种情况下，我得到的唯一错误是证书是自签名的。
• 当 CA 返回请求的签名证书时，证书中会添加大量其他 X509 非关键扩展。目前我不认为这是一个问题，但是，这可能是一个关键的Key Usage 扩展以及那些非关键扩展可能会导致失败的原因。
• 对于TLS握手，服务器端根本没有回复。

认为这可能是 CA 签名证书中涉及的任何编码的问题是否公平？

此帖子现在已在 Serverfault 跟进

Answer 1

CA 签名的证书应该是 PEM/Base64 格式。它是 DER 格式的。更改它可以解决问题。