将通配符SSL证书上传到Google App Engine时出现“SSL证书引用托管域之外的子域”的错误。

Question

将通配符SSL证书上传到Google App Engine时出现“SSL证书引用托管域之外的子域”的错误。

google-app-enginesslcertificatessl-certificategoogle-apps

6

我目前在我们的Google应用程序域(example.com)使用自签名的通配符证书(请参见http://pastie.org/8402240)。

假设子域名是api.example.com和staging.example.com。

自签名证书是为*.api.example.com准备的。

它可以正常工作。

但是，当我尝试上传一个CA签名的证书时(请参见http://pastie.org/8402243)，我会收到错误消息“SSL证书引用了受管域之外的子域名。”

CA签名证书有点复杂，但它的解析方式如下http://pastie.org/8402255，它也适用于*.api.example.com(和*.staging.example.com)。

导致此错误的CA证书问题是什么？

- user1147646

4个回答

0

我猜测您还没有正确设置自定义域名。请参阅Google的使用自定义域文档，特别是关于通配符子域映射的部分。

我猜您需要添加：

soundtrackyourbrand.com
staging.soundtrackyourbrand.com
api.soundtrackyourbrand.com
*.staging.soundtrackyourbrand.com
*.api.soundtrackyourbrand.com

由于 SSL 包含了相当多的主题备用名称，因此将其添加到自定义域名列表中。

- Michael Pasqualone

这可能不是事实，因为自签名证书只有 *.api.soundtrackyourbrand.com 是正确的，对吧？ - user1147646

0

根据错误信息，似乎Google App抱怨证书含有Google App无需知道的子域名。

你提到了：*.staging.soundtrackyourbrand.com已经包含在内。请确保Google App知道这个子域名/区域（以及soundtrackyourbrand.com），这就是它拒绝访问的原因。

你需要拥有的区域如下：

soundtrackyourbrand.com
staging.soundtrackyourbrand.com
api.soundtrackyourbrand.com

如果您无法添加这些记录，则需要重新生成一个更适合您区域的证书。

或者，您可能已经错误地设置了第一个区域。例如，soundtrackyourbrand.com 应该是您唯一的区域，api.soundtrackyourbrand.com 和 staging.soundtrackyourbrand.com 应该是 A 记录。

- Steve

就像我对Michael Pasqualone所说的一样-自签名证书中的区域和名称并不是问题，因此我怀疑这里是否存在这种情况？ - user1147646

0

Google应用程序仅支持一级通配符子域，*.api和*.staging.soundtrackyourbrand.com是两级的

- Marcos Macedo

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- jww · Accepted Answer

当我尝试上传一个CA签名的证书时，（参见http://pastie.org/8402243），我收到错误消息“SSL证书引用了托管域之外的子域”。我认为配置存在两个问题。一个是PKI相关的，另一个是DNS相关的。我知道PKI问题会导致某些用户代理出现问题。我不确定DNS问题，但这可能是问题，因为您的错误消息引用了“托管域之外的子域”。而且这可能不是唯一的问题。

服务器的证书缺少必要的中间证书以进行验证。这是PKI中众所周知的问题，被称为“哪个目录”问题。在这个问题中，客户端不知道去哪里获取用于签署您的终端实体证书的缺失中间证书。

根据CA签名的pastie（http://pastie.org/8402243）：

$ openssl x509 -in 8402243.pem -inform PEM -noout -text 

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 108388 (0x1a764)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 2 Primary Intermediate Server CA
        Validity
            Not Before: Oct  3 05:15:45 2013 GMT
            Not After : Oct  4 10:34:27 2015 GMT
        Subject: C=SE, ST=Stockholm, L=Stockholm, O=S.Biz AB, CN=api.example.com/emailAddress=hostmaster@example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:a9:76:dc:c7:5c:1a:ab:cf:dc:0b:6d:4b:1a:83:
                    ...
                    7e:45:cb:cc:9f:14:e4:6c:b9:22:fa:d8:0f:5c:69:
                    76:2b
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Key Agreement
            X509v3 Extended Key Usage: 
                TLS Web Client Authentication, TLS Web Server Authentication
            X509v3 Subject Key Identifier: 
                FC:EE:69:80:9D:A1:0C:43:C6:24:CE:85:F6:00:C9:65:CD:4A:AF:D4
            X509v3 Authority Key Identifier: 
                keyid:11:DB:23:45:FD:54:CC:6A:71:6F:84:8A:03:D7:BE:F7:01:2F:26:86

            X509v3 Subject Alternative Name: 
                DNS:api.example.com, DNS:example.com, DNS:staging.example.com, DNS:*.staging.example.com, DNS:*.api.example.com
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.2
                Policy: 1.3.6.1.4.1.23223.1.2.3
                  CPS: http://www.startssl.com/policy.pdf
                  User Notice:
                    Organization: StartCom Certification Authority
                    Number: 1
                    Explicit Text: This certificate was issued ...

            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://crl.startssl.com/crt2-crl.crl

            Authority Information Access: 
                OCSP - URI:http://ocsp.startssl.com/sub/class2/server/ca
                CA Issuers - URI:http://aia.startssl.com/certs/sub.class2.server.ca.crt

            X509v3 Issuer Alternative Name: 
                URI:http://www.startssl.com/
    Signature Algorithm: sha256WithRSAEncryption
         97:2c:96:ee:80:ca:1f:27:55:e0:60:68:6b:5e:ea:44:a7:bb:
         ...
         64:6e:1a:0b:9b:bd:10:e6:ac:48:60:cd:51:ac:46:57:fa:61:
         13:32:65:a5

你的证书链中缺失了"StartCom Class 2 Primary Intermediate Server CA"中间证书。

你可以从Startcom的CA证书获取缺失的中间证书。你需要的那个是sub.class2.server.ca.pem。一个快速的转储验证了sub.class2.server.ca.pem的主题是您服务器证书的颁发者:

$ openssl x509 -in sub.class2.server.ca.pem -inform PEM -noout -text 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 26 (0x1a)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Certification Authority
        Validity
            Not Before: Oct 24 20:57:09 2007 GMT
            Not After : Oct 24 20:57:09 2017 GMT
        Subject: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 2 Primary Intermediate Server CA
    ...

这个错误是由于CA证书出现问题引起的吗？

你应该将以下内容粘贴到服务器证书文件中，放在PEM编码的服务器证书之后。实际上，您的服务器证书文件将包含两个证书。

客户端需要“信任”Startcom根证书(CN=StartCom Certification Authority)。如果客户端信任Startcom的根证书，则您的服务器证书将得到验证。

# Download Startcom's roots
$ wget https://www.startssl.com/certs/ca-bundle.pem
--2014-02-07 05:08:52--  https://www.startssl.com/certs/ca-bundle.pem
...

# Verify the server certificate using the Startcom root
$ openssl verify -CAfile ca-bundle.pem 8402243+intermediate.pem
8402243+intermediate.pem: OK

我注意到另外一件事情。有些主机解析正常：

$ dig staging.soundtrackyourbrand.com

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> staging.soundtrackyourbrand.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22761
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;staging.soundtrackyourbrand.com. IN    A

;; ANSWER SECTION:
staging.soundtrackyourbrand.com. 3599 IN A  194.9.94.85
staging.soundtrackyourbrand.com. 3599 IN A  194.9.94.86

但有些主机无法正确解析：

$ dig api.soundtrackyourbrand.com

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> api.soundtrackyourbrand.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33966
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;api.soundtrackyourbrand.com.   IN  A

;; AUTHORITY SECTION:
soundtrackyourbrand.com. 1755   IN  SOA ns1.loopia.se. registry.loopia.se. 1391644800 10800 3600 604800 86400

;; Query time: 0 msec
;; SERVER: 172.16.1.10#53(172.16.1.10)
;; WHEN: Fri Feb  7 05:30:05 2014
;; MSG SIZE  rcvd: 103

我相信你应该有一个类似于地址资源记录的东西：

api.soundtrackyourbrand.com.    IN    A   194.9.94.85

或者，通过提供一个权威起始记录（SOA）使其成为子域。但我不确定Google在其验证程序中如何处理它，因此最好只是提供一个地址资源记录。