Khi cố gắng định cấu hình SSL trên máy chủ được thiết kế để chạy Apache hoặc có khả năng là một công nghệ lưu trữ web tương tự khác, bạn có thể gặp phải lỗi cho bạn biết rằng chứng chỉ máy chủ KHÔNG bao gồm ID khớp với tên máy chủ. Về mặt kỹ thuật, đây chỉ là một cảnh báo và về mặt lý thuyết, bạn có thể giải quyết vấn đề đó theo cách của mình.
Tốt hơn hết là bạn nên thực hiện một chút khắc phục sự cố để mọi thứ hoạt động trở lại như bình thường. Khi bạn đã khớp với tên máy chủ và chứng chỉ, bạn sẽ không phải thực hiện lại bất kỳ bước nào trong số này vào lần cập nhật hệ thống tiếp theo. Bạn có thể cần phải tạo lại một số thứ nếu một chỉnh sửa tệp đơn giản không khắc phục được mọi thứ, nhưng sau khi hoàn thành, bạn sẽ không phải định cấu hình tệp nữa.
Phương pháp 1:Chỉnh sửa tệp httpd [dot] conf
Bắt đầu bằng cách xem qua tệp, thay vào đó có thể ở một nơi hơi khác nếu bạn đang chạy Apache trên Fedora, Red Hat hoặc CentOS. Máy chủ Debian và Ubuntu nên đặt nó ở địa chỉ đầu tiên này. Tìm kiếm văn bản mô tả chứng chỉ máy chủ KHÔNG bao gồm ID khớp với thông báo cảnh báo tên máy chủ.
Bạn có thể thấy rằng nó đang ném ra 443 hoặc một số khác sau mỗi phần của địa chỉ IP nhưng không có vấn đề SSL nào khác. Trong trường hợp này, bạn có thể đã không nói cho Apache biết những cổng nào cần lắng nghe. Chạy
và tìm một dòng có nội dung Nghe 80. Bên dưới, thêm Nghe 443 hoặc bất kỳ số cổng nào khác mà bạn có thể cần . Sau khi đã lưu và đóng tệp, bạn có thể sử dụng để khởi động lại quá trình httpd.
Những máy chủ chạy Ubuntu hoặc Debian có thể không có tệp này hoặc họ có thể thấy nó hoàn toàn trống rỗng, không giống như những máy chủ sử dụng một số phiên bản Fedora hoặc Red Hat Enterprise Linux. Trong trường hợp đó, hãy sử dụng
để chỉnh sửa tệp văn bản cần thêm cổng để nghe.
Trong nhiều trường hợp, điều này lẽ ra đã khắc phục được sự cố. Nếu không, hãy kiểm tra tất cả các sự cố mạng liên quan trước khi tiếp tục kiểm tra tình hình chứng chỉ.
Phương pháp 2:Tạo lại chứng chỉ mới
Các thông báo cảnh báo này cũng có thể xuất hiện nếu bạn đang làm việc với các chứng chỉ hết hạn mà bạn đã tự ký. Nếu bạn cần tạo lại chúng, hãy thử sử dụng
và tìm hai dòng được đánh dấu File và KeyFile. Những điều này sẽ cho bạn biết vị trí của tệp khóa chứng chỉ khi tạo chứng chỉ SSL.
Nếu bạn đang làm việc với một công ty ký kết chuyên nghiệp cung cấp chứng chỉ World Wide Web chính thức, thì bạn nên làm theo các hướng dẫn cụ thể do tổ chức cấp phép của bạn cung cấp. Nếu không, bạn sẽ cần sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout KeyFile -out File , thay thế KeyFile và File bằng văn bản mà bạn có thể thoát khỏi lệnh cat trước đó. Bạn hẳn đã tìm thấy vị trí của hai tệp khác nhau, chúng phục vụ ở đầu vào và đầu ra cho chứng chỉ.
Giả sử rằng chúng đã lỗi thời, chỉ cần làm điều này là đủ để sửa lỗi, nhưng bạn có thể phải khởi động lại dịch vụ trước khi nó ngừng đưa ra cảnh báo cho bạn.
Bạn cũng có thể tìm hiểu thêm một chút về các chứng chỉ mà bạn hiện đã cài đặt để hỗ trợ bạn trong quá trình khắc phục sự cố. Để xem tên nào hiện có trên chứng chỉ của bạn để đảm bảo nó khớp, bạn có thể chạy openssl s_client -showcerts -connect $ {HOSTNAME}:443 , mặc dù bạn sẽ cần đặt tên máy chủ thực tế của mình giữa các dấu ngoặc. Thay thế chữ số 443 nếu bạn gặp sự cố với một cổng khác.
Nếu bạn đã cài đặt nhiều chứng chỉ trên cùng một thiết bị và được phân phát từ cùng một địa chỉ IP, thì bạn sẽ cần chạy openssl s_client -showcerts -connect $ {IP}:443 -servername $ {HOSTNAME} , thay thế IP bằng IP thực của bạn và điền vào tên máy chủ. Một lần nữa, bạn có thể phải thay thế 443 bằng một chữ số khác để phù hợp với trường hợp sử dụng cụ thể của bạn.
Hãy nhớ rằng bạn phải đảm bảo rằng tên máy chủ chính xác được chỉ định làm bí danh hoặc tên thông thường khi CSR được tạo ngay từ đầu.