Cn имя сертификата не совпадает с полученным значением sstp vpn

CN имя сертификата не совпадает с полученным значением SSTP VPN

Причины ошибки "CN имя сертификата не совпадает с полученным значением SSTP VPN"

Ошибка "CN имя сертификата не совпадает с полученным значением SSTP VPN" часто возникает при попытке установить защищённое соединение через протокол SSTP (Secure Socket Tunneling Protocol). Данная ошибка указывает на то, что имя, указанное в поле Common Name (CN) сертификата сервера, не совпадает с именем хоста или домена, который используется для подключения к VPN.

Основные причины:

• Несоответствие имени сервера: Сертификат выдан на одно имя, но клиент использует другое для подключения.

• Истечение срока действия сертификата: Если сертификат просрочен, его CN не может быть проверен корректно.

• Неверная конфигурация сервера: Сертификат был неправильно настроен на стороне сервера SSTP.

• Изменение имени хоста: После изменения имени сервера старый сертификат становится некорректным.

pgsql
CopyEdit
openssl x509 -in server.crt -text -noout | grep "Subject:"

Данная команда выводит имя субъекта, указанное в сертификате. Сравните его с именем хоста, к которому осуществляется подключение.

Проверка через GUI

1. Откройте Панель управления.

2. Перейдите в Центр сертификации (Certification Authority).

3. Найдите сертификат, используемый SSTP VPN.

4. Проверьте значение CN в свойствах сертификата.

Способы устранения проблемы:

1. Перевыпуск сертификата с корректным именем сервера.

2. Изменение имени хоста на соответствующее CN в сертификате.

3. Настройка перенаправления DNS: Иногда изменение записи DNS позволяет избежать ошибки.

csharp
CopyEdit
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout sstp.key -out sstp.crt -subj "/CN=vpn.example.com"

Параметр -subj "/CN=vpn.example.com" указывает правильное имя сервера.

Установка сертификата на сервер

1. Скопируйте сертификат на сервер.

2. Настройте SSTP VPN на использование нового сертификата.

3. Перезапустите службу VPN для применения изменений.

Добавление сертификата в доверенные

1. Откройте Сертификаты на клиенте (certmgr.msc).

2. Перейдите в Доверенные корневые центры сертификации.

3. Импортируйте новый сертификат сервера SSTP.

4. Проверьте правильность установки.

nginx
CopyEdit
systemctl restart sstpd

Или на Windows-сервере:

arduino
CopyEdit
net stop sstpsvc &&&& net start sstpsvc

Очистка кэша сертификатов

На клиенте можно очистить кэш сертификатов следующей командой:

cpp
CopyEdit
certutil -urlcache * delete

Вопрос: Что делать, если используется самоподписанный сертификат?
Ответ: Необходимо вручную добавить его в доверенные корневые центры на клиенте.

Вопрос: Можно ли использовать IP-адрес вместо доменного имени?
Ответ: Да, но CN в сертификате должен также содержать этот IP-адрес.

Вопрос: Как избежать проблемы при изменении имени сервера?
Ответ: Заранее перевыпустить сертификат с новым CN и обновить настройки VPN-клиентов.

Вопрос: Почему возникает ошибка после обновления сервера?
Ответ: Обновления могут привести к сбоям в конфигурации сертификатов. Рекомендуется проверять настройки после каждого обновления.