The certificate Common Name (CN) does not match with the expected CN

最新推荐文章于 2024-07-11 13:54:53 发布
转载 最新推荐文章于 2024-07-11 13:54:53 发布 · 4.6k 阅读 · 2

用户在使用修改版的ssl_client1.c程序访问Yahoo进行测试时遇到X.509证书验证错误,提示证书的通用名称(CN)与预期不符。通过更换程序为ssl_client2.c,问题得以解决,但原因未知。进一步测试发现,在多个版本的mbedtls库中,ssl_client1.c程序都会出现相同的CN验证错误,直到替换hostname参数后问题才得到解决。

原文地址:https://tls.mbed.org/discussions/bug-report-issues/verifying-peer-x-509-cert

Verifying peer X.509 Cert

 

Jan 20, 2016 21:05
Dan

I am using a modified version of ssl_client1.c to access yahoo for testing purposes. I assume their certs are installed correctly, but for some reason I keep getting the following error:

"The certificate Common Name (CN) does not match with the expected CN"

My modification to the ssl_client1.c is as follows:

    /*
     * 0.1 Initialize certificates
     */
    mbedtls_printf( "  . Loading the CA root certificate ..." );
    fflush( stdout );

    char cwd_buff[PATH_MAX + 1];
    getcwd( cwd_buff, PATH_MAX + 1 );
    strcat(cwd_buff, "\\Debug\\yahoo.crt");
    mbedtls_printf("CA File: %s ", cwd_buff);

    ret = mbedtls_x509_crt_parse_file(&cacert, cwd_buff);

    if( ret < 0 )
    {
        mbedtls_printf( " failed\n  !  mbedtls_x509_crt_parse returned -0x%x\n\n", -ret );
        goto exit;
    }

    mbedtls_printf( " ok (%d skipped)\n", ret );

I don't get any errors loading the cert and I do get the HTTP of Yahoo, its just the cert that seems to be off.

 

Jan 21, 2016 01:59
Dan

Interesting.....I just tried the ssl_client2.c program and it works fine. I guess I'm not doing something correct with using the cert. Any ideas why ssl_client1.c gives the CN error?

 

Feb 10, 2016 22:07
moraine

I reproduced the same issue using unmodified ssl_client1 and ssl_server example programs for the following versions : v2.2.1, v2.2.0 ,v2.1.4 , v1.3.16, but not with v1.2.19

For information, please find below the output of ssl_client1 when I meet the issue :

  . Seeding the random number generator... ok
  . Loading the CA root certificate ... ok (0 skipped)
  . Connecting to tcp/localhost/4433... ok
  . Setting up the SSL/TLS structure... ok
  . Performing the SSL/TLS handshake.../home/bmoraine/Desktop/mbed/mbedtls-2.2.0/library/ssl_tls.c:4400: x509_verify_cert() returned -9984 (-0x2700)
 ok
  . Verifying peer X.509 certificate... failed
  ! The certificate Common Name (CN) does not match with the expected CN

  > Write to server: 18 bytes written

GET / HTTP/1.0

  < Read from server: 150 bytes read

HTTP/1.0 200 OK
Content-Type: text/html

<h2>mbed TLS Test Server</h2>
<p>Successful connection using: TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384</p>
/home/bmoraine/Desktop/mbed/mbedtls-2.2.0/library/ssl_tls.c:6509: mbedtls_ssl_read_record() returned -30848 (-0x7880)
Last error was: -30848 - SSL - The peer notified us that the connection is going to be closed

Regarding ssl_server output no error is displayed :

  . Loading the server cert. and key... ok
  . Bind on https://localhost:4433/ ... ok
  . Seeding the random number generator... ok
  . Setting up the SSL data.... ok
  . Waiting for a remote connection ... ok
  . Performing the SSL/TLS handshake... ok
  < Read from client: 18 bytes read

GET / HTTP/1.0

  > Write to client: 150 bytes written

HTTP/1.0 200 OK
Content-Type: text/html

<h2>mbed TLS Test Server</h2>
<p>Successful connection using: TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384</p>

  . Closing the connection... ok
  . Waiting for a remote connection ...

Is there a regression in ssl_client1 example or in the library itself?

 

Feb 12, 2016 11:49
moraine

It seems I fix the issue by replacing hostname parameter in the call of mbedtls_ssl_set_hostname() on line 180

I replace :

  if( ( ret = mbedtls_ssl_set_hostname( &ssl, "mbed TLS Server 1" ) ) != 0 )
   {
        mbedtls_printf( " failed\n  ! mbedtls_ssl_set_hostname returned %d\n\n", ret );
        goto exit;
    }

by

  if( ( ret = mbedtls_ssl_set_hostname( &pms->ssl, SERVER_NAME ) ) != 0 )
    {
        mbedtls_printf( " failed\n  ! mbedtls_ssl_set_hostname returned %d\n\n", ret );
        goto exit;
    }

For information, SERVER_NAME is defined on line 63

#define SERVER_NAME "localhost"

and is used previously used by mbedtls_net_connect() on line 141

按上文中所述将if( ( ret = mbedtls_ssl_set_hostname( &pms->ssl, localhost) ) != 0 ) 即可

nicholas_duan
关注
《Python基础教程》内容总览篇(持续更新中)
weixin_43178406的博客
08-26 31万+
大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为优快云博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的知识进行总结与归纳,不仅形成深入且独到的理解,而且能够帮助新手快速入门。个人精心开设的《Python基础课程》专栏订阅量接近900,帮助不少同学解决了Bug。
Spring Boot学习总结(8)——SpringBoot Common application properties(application.properties)详解
科技D人生
05-05 4134
各种属性可以在您的application.properties/application.yml文件或命令行开关指定。下面提供了常见的Spring启动属性和引用它们的基础类的列表。 # =================================================================== # COMMON SPRING BOOT PROPERTIES # # T
Subversion客户端接受服务器证书出现“The certificate hostname does not match”的问题
weixin_34235105的博客
01-30 1万+
当使用https://形式的URL连接Apache时,Subversion客户端将会受到两个类型的响应: 1、一个服务器证书 2、一个针对客户端证书的请求 在本人的应用场景主要涉及SVN仓库迁移的操作,需要将大量的远程仓库集中迁移到本地仓库进行管理。所以这里主要描述服务器证书相关的问题,因为需要使用脚本执行Subversion的svnrdump命令,在执行的过程中碰到如下提示信息: Error v...
解决https,javax.net.ssl.SSLException: hostname in certificate didn‘t match 等问题
木辰風的博客
05-08 2960
问题原因:https链接需要验证证书,证书不匹配、过期等问题导致调用接口不成功 https不校验证书,代码: static { SSLSocketFactory socketFactory = new SSLSocketFactory(getSSLContext(), SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER); SchemeRegistry schemeRegistry = new SchemeRegistry
在 Apache error_log 中看到多个信息,提示 RSA server certificate CommonName (CN) 与服务器名不匹配()...
weixin_30287169的博客
07-21 1155
在 Apache error_log 中看到多个信息,提示 RSA server certificate CommonName (CN) 与服务器名不匹配。 Article ID: 1500, created on 五月 28, 2012, last review on 五月 11, 2014 适用于: Web Presence Builder Plesk for Linux...
ERROR: certificate common name “*.” doesn’t match requested ho
你不知道---不求人文档
11-25 7413
linux服务器下载https站点内容时报证书问题解决方式 解决方式 wget --no-check-certificate https://xxxx.com; ¥¥ (重点在 –no-check-certificate
wget命令使用报错 certificate common name ‘xxx‘ doesn‘t match requestde host name
DCFT_newone的博客
12-18 1871
使用wget命令 wget http://www.monkey.org/~provos/libevent-1.2.tar.gz 报如下错 error:certificate common name "monkey.org" doesn't match requested host name "www.monkey.org" 可使用curl命令 curl -O -Lhttp://www.monkey.org/~provos/libevent-1.2.tar.gz 就OK了 转载于:http.
java 配置机器名_java – 尽管将“disableCNCheck”设置为true,但https URL主机名与公共名称(CN)不匹配...
weixin_39785165的博客
02-27 1163
我设法正确配置基于CXF的客户端,以便为运行Web服务的服务器找到正确的SSL证书:file="C:\Program Files (x86)\Java\jdk1.6.0_45\jre\lib\security\cacerts"/>file="C:\Program Files (x86)\Java\jdk1.6.0_45\jre\lib\security\cacerts"/>.*_EXP...
Spring Boot入门教程():配置文件
人不风流枉少年
03-20 4926
配置方式 每个starter都有自己默认的配置,如果需要改变默认值,可以在其他地方配置来覆盖掉默认的值,覆盖默认的配置有多种方式,每种方式的优先级也不同,如果在多个地方配置则优先使用优先级高的值,其中命令行参数优先级最高, 其中大部分参数一般都配置在属性文件application.properties中,属性文件即可以覆盖starter中默认的值,也可以自定义值 在命令行行输入的参数 SPR...
Springboot - 项目的全部可配置属性及其说明
简简单单Onlinezuozuo
04-11 9464
Springboot - 项目的全部可配置属性及其说明 1.可配置的项目如下 // 包含了可配置的字段, 默认值,以及说明 // 有机会后面翻译一下 debug=false # Enable debug logs. trace=false # Enable trace logs. # LOGGING logging.config= # Location of the logging c...
mbedtls, 开放源码可以移植易于使用可以读和灵活的SSL库.zip
09-18
mbedtls, 开放源码可以移植易于使用可以读和灵活的SSL库 mbed的自述文件配置mbed TLS应该在大多数系统中构建。 有些平台特定的选项在完全文档化的配置文件 include/mbedtls/config.h 中可以用,这也是特性可以以选择的地方。 可以使用Perl脚本 scripts/
Dockercompose创建redis主从复制
weixin_43224069的博客
06-29 1233
Dockercompose创建redis主从复制
https 出现host name not match 问题
热门推荐
sonycong的专栏
05-26 4万+
'www.xxx.com' does not match the certificate subject provided by the peer 出现这个问题的原因是你访问的域名和你访问服务器的证书的机构(域名)不一致导致的,比如,你的证书是为域名 sss.com注册的,而你访问的时候的域名是xxx.com,这个时候就会报这种错误,解决办法是重写httpclient的HostnameVerif
【ubantu22.10】Certificate verification failed: The certificate is NOT trusted.
weixin_50259390的博客
12-18 1419
如果安装完成后,还是无法解决问题, 根据报错信息,把报错上面对应网址由https更改为http。通过查询得知是证书失效,需要重新安装ca-certificates。在ubantu22.10 执行apt update时,遇到。
服务器的x.509证书,生成的签名X.509客户端证书无效(没有证书链到其CA)
weixin_31938727的博客
07-30 2178
public static X509Certificate2 GenerateCertificate(X509Certificate2 caCert, string certSubjectName){// Generate Certificatevar cerKp = kpgen.GenerateKeyPair();var certName = new X509Name(true,certSubj...
(笔记)RequestError: Hostname/IP does not match certificate‘s altnames: Host: npm.taobao.org.解决方法
u011046452的博客
06-12 6853
然后输入`npm config set electron_mirror https://npmmirror.com/mirrors/electron/`输入了下面的命令来修改electron_mirror,但是没生效。找到npm的配置文件 /Users/simley/.npmrc。最后输入`npm config ls`输入vim ~/.npmrc。
java ca 验证失败_在Java中针对CA验证X.509证书
weixin_35923682的博客
02-23 1265
可以说我有这样的东西(客户端代码):TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() {@Overridepublic java.security.cert.X509Certificate[] getAcceptedIssuers() {return null;}@Overridepublic void...
SSL Error: Hostname/IP does not match certificate‘s altnames
weixin_54048131的博客
07-11 4529
这里的添加的是域名,而非是IP地址,之后填写域名就成功了。根据大佬的文章,这里填写的是域名,域名访问就访问通了。SSL错误:主机名/IP与证书的备用名不匹配。
java.security.cert.CertificateException: X.509 not found,X.509证书找不到
ShanLanF的博客
09-11 2375
对接支付宝转账接口,本地测试没有问题,部署到服务器就报错。 报错代码: org.apache.catalina.loader.WebappClassLoaderBase.checkStateForResourceLoading Illegal access: this web application instance has been stopped already. Could not load [org.bouncycastle.jcajce.provider.asymmetric.x509.Certi
The expected Stdout device name does not match the selected target byte stream device name.
最新发布
07-21
在处理输出设备名称与目标字节流设备名称不匹配的问题时,需要确保命令行参数与设备配置的一致性。例如,当使用 `tiff32nc` 作为输出设备时,目标字节流设备名称应与之匹配,否则可能导致输出设备无法正确识别或处理生成的数据流。 ### 参数一致性检查 在命令行中指定输出设备和颜色配置时,应确保所有参数与设备的特性保持一致。以下是一个命令行示例: ```bash -sDEVICE=tiff32nc -sOutputICCProfile=srgb.icc -sDeviceLinkProfile=linkRGBtoCMYK.icc ``` 在这个命令中,`-sDEVICE=tiff32nc` 指定了输出设备为 `tiff32nc`,它期望 CMYK 颜色模型。同时,`-sOutputICCProfile=srgb.icc` 指定了输出颜色空间为 sRGB,而 `-sDeviceLinkProfile=linkRGBtoCMYK.icc` 则指定了一个设备链接配置文件,用于将 sRGB 映射到 CMYK。这种配置是有效的,因为输出设备的颜色模型与设备链接配置文件的输出颜色空间一致[^1]。 ### 设备名称匹配 在处理标准输出设备名称与目标字节流设备名称不匹配的问题时,需要确保命令行参数中的设备名称与实际使用的设备名称一致。例如,如果使用 `tiff32nc` 作为输出设备,则目标字节流设备名称也应为 `tiff32nc`。如果设备名称不匹配,可能会导致输出设备无法正确识别或处理生成的数据流。 ### 示例代码 以下是一个简单的 Bash 脚本示例,用于检查设备名称是否匹配: ```bash #!/bin/bash # 定义输出设备名称 output_device="tiff32nc" # 定义目标字节流设备名称 target_device="tiff32nc" # 检查设备名称是否匹配 if [ "$output_device" == "$target_device" ]; then echo "设备名称匹配,可以继续执行。" else echo "设备名称不匹配,请检查配置。" fi ``` 在这个脚本中,首先定义了输出设备名称和目标字节流设备名称,然后通过 `if` 语句检查这两个名称是否匹配。如果不匹配,会输出提示信息,提醒用户检查配置。 ### 相关问题 1. 如何验证输出设备的颜色模型是否与设备链接配置文件的输出颜色空间一致? 2. 在命令行中指定输出设备和颜色配置时,有哪些常见的错误需要注意? 3. 如何编写一个 Bash 脚本来自动化检查设备名称是否匹配? 4. 如果设备名称不匹配,可能导致哪些具体的问题? 5. 在处理颜色管理时,如何确保不同设备之间的颜色空间转换正确无误?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值