在https双向验证时出现错误：

x509: cannot validate certificate for 10.30.0.163 because it doesn't contain any IP SANs

解决办法

法一：创建证书时使用IP别名

服务端创建证书时，使用IP别名（根据实际情况随便起一个，例如transaction163）

客户端，修改host文件，Windows系统的文件位置  C:\Windows\System32\drivers\etc\hosts

在文件中添加行：

前面是服务端IP，后面是为IP起的别名

修改后保存

客户端调用时，直接用别名调用，问题即可解决

 

法二：

在创建服务端证书时：用如下语句

openssl genrsa -out server.key 2048

openssl req -new -key server.key -subj "/CN=10.30.0.163" -out server.csr

echo subjectAltName = IP:10.30.0.163 > extfile.cnf

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out server.crt -days 5000

关键点在于，服务端证书生成时，需要设置subjectAltName = IP:10.30.0.163，设置方式如下（通过在证书生成语句中添加-extfile extfile.cnf，实现将extfile.cnf中的内容写入到证书中）

echo subjectAltName = IP:10.30.0.163 > extfile.cnf

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out server.crt -days 5000

可以使用下面命令查看服务证书内容是否有设置的服务端IP地址，如图：

openssl x509 -in ./server.crt -noout -text