почему я должен DNS.1 = localhost в моем сертификате SAN для chrome, чтобы принять его

Question

Мы создаем сертификат, подписанный CA, чтобы мы могли общаться с некоторыми встроенными контроллерами через HTTPS

Если мы просто включаем общее имя, Chrome помечает его как ненадежное, но позволяет нам нажимать.

Однако, если мы добавим следующие записи SAN в файл конфигурации

[alt_names] 
IP.1   = 192.168.61.30 
IP.2   = 192.168.61.31 
IP.3   = 192.168.61.32

Chrome жалуется, что информация не соответствует серверу, и поэтому небезопасно получать доступ к странице сервера.

Мы обошли это, добавив еще одну запись SAN следующим образом

[alt_names]
DNS.1 = localhost
IP.1   = 192.168.61.30
IP.2   = 192.168.61.31
IP.3   = 192.168.61.32

Затем Chrome принимает сертификат, и мы можем получить доступ к веб-странице без ошибок

Что делает запись DNS.1 и зачем она нужна?

Answer 1

Нет информации о том, как осуществляется доступ к серверу.Я предполагаю, что вы пытаетесь получить к нему доступ как https://localhost:, верно?

В любом случае браузер Chrome будет пытаться сопоставить имя хоста, к которому вы обращаетесь, со всеми атрибутами SAN и с CN изсертификат сервера.

Если он не может совпадать ни с одним из этих атрибутов, он вызовет ошибку безопасности, поскольку Chrome не может доверять предоставленным учетным данным сервера.