Le certificat du serveur n'inclut pas d'identifiant correspondant au nom du serveur

Découvrez comment résoudre l'erreur SSL sur votre serveur Apache en régénérant des certificats et en configurant correctement les ports d'écoute pour une connexion sécurisée.

Lorsque vous essayez de configurer SSL sur un serveur conçu pour exécuter Apache ou potentiellement une autre technologie d'hébergement web similaire, vous pourriez rencontrer une erreur vous indiquant que le certificat du serveur ne comprend PAS d'ID correspondant au nom du serveur. Il s'agit techniquement seulement d'un avertissement et vous pourriez théoriquement contourner ce problème.

Il est bien plus judicieux de faire un peu de dépannage pour que tout fonctionne à nouveau normalement. Une fois que vous avez le nom du serveur et le certificat associés, vous ne devriez pas avoir à refaire ces étapes la prochaine fois que vous mettrez à jour le système. Vous pourriez avoir besoin de régénérer certaines choses si une simple modification de fichier ne résout pas le problème, mais une fois que cela est fait, vous n'aurez plus à configurer les fichiers.

Méthode 1 : Édition du fichier httpd[dot]conf

Commencez par jeter un œil au fichier, qui pourrait en réalité se trouver à un endroit légèrement différent si vous exécutez Apache sur Fedora, Red Hat ou CentOS. Les serveurs Debian et Ubuntu devraient l'avoir localisé à cette première adresse. Recherchez le texte qui indique que le certificat du serveur ne comprend PAS d'ID correspondant au message d'avertissement.

Vous pourriez constater qu'il retourne 443 ou un autre numéro après chaque partie de l'adresse IP, mais pas d'autres problèmes SSL. Dans ce cas, vous n'avez peut-être pas dit à Apache sur quels ports écouter. Exécutez
et cherchez une ligne qui lit Listen 80. En dessous, ajoutez Listen 443 ou tout autre numéro de port dont vous pourriez avoir besoin. Une fois que vous avez enregistré et fermé le fichier, vous pouvez utiliser pour redémarrer le processus httpd.

Celles et ceux qui exécutent des serveurs Ubuntu ou Debian peuvent ne pas avoir ce fichier ou le trouver complètement vide, contrairement à ceux utilisant certaines versions de Fedora ou Red Hat Enterprise Linux. Dans ce cas, utilisez
pour éditer le fichier texte nécessaire afin d'ajouter les ports à écouter.

Dans de nombreux cas, cela devrait avoir corrigé le problème. Si ce n'est pas le cas, vérifiez tous les problèmes de réseau pertinents avant de procéder à l'inspection de la situation des certificats.

Méthode 2 : Régénérer de nouveaux certificats

Ces messages d'avertissement peuvent également apparaître si vous avez travaillé avec des certificats expirés que vous avez signés vous-même. Si vous devez les régénérer, essayez d'utiliser
et recherchez deux lignes marquées File et KeyFile. Celles-ci vous indiqueront où se trouve le fichier de clé du certificat lors de la création d'un certificat SSL.

Si vous travaillez avec une entreprise de signature professionnelle qui fournit des certificats officiels pour le World Wide Web, alors vous devez suivre les instructions spécifiques fournies par votre organisation de licence. Sinon, vous devrezsudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout KeyFile -out File, en remplaçant KeyFile et File par le texte que vous avez pu obtenir grâce à la commande cat précédente. Vous devriez avoir trouvé l'emplacement de deux fichiers différents, servant d'entrée et de sortie pour les certificats.

En supposant qu'ils soient obsolètes, il vous suffira simplement de faire cela pour corriger l'erreur, mais vous devrez peut-être redémarrer le service avant qu'il ne cesse de vous envoyer des avertissements.

Vous pouvez également en apprendre un peu plus sur les certificats que vous avez actuellement installés pour vous aider dans le processus de dépannage. Pour voir quel nom figure actuellement sur votre certificat pour vous assurer qu'il correspond, vous pouvez exécuter openssl s_client -showcerts -connect ${HOSTNAME}:443, bien que vous deviez mettre votre véritable nom d'hôte entre les crochets. Remplacez le numéro 443 si vous rencontrez des problèmes avec un autre port.

Dans le cas où vous auriez plusieurs certificats installés sur le même appareil et servis depuis la même adresse IP, vous devrez exécuter openssl s_client -showcerts -connect ${IP}:443 -servername ${HOSTNAME}, en remplaçant IP par votre véritable IP et en remplissant le nom d'hôte. Encore une fois, vous devrez peut-être remplacer 443 par un autre chiffre pour correspondre à votre cas d'utilisation spécifique.

Gardez à l'esprit que vous devez vous assurer que le nom d'hôte correct est spécifié en tant qu'alias ou nom commun lorsque la CSR a été créée au départ.

Maintenant que tu as fini de lire Le certificat du serveur n'inclut pas d'identifiant correspondant au nom du serveur, nous t'invitons à explorer davantage la catégorie Linux. Tu y trouveras d'autres articles intéressants qui élargiront tes connaissances et te tiendront informé. Ne cesse pas de lire et de découvrir plus!