问与CA颁发证书的不安全连接

EN

我已经从来自思科C9300的CSR导入了一个web服务器证书。证书来自证书颁发机构，并在链的末尾显示正确的CA。CLI显示证书安装正确，没有问题。问题是当我去安全的网站(https://)的交换机，但它说连接是不安全的。我在浏览器中检查证书，它显示了我从CA获得的证书。为什么它显示不安全，即使证书是有效的？

当转到页面时，上面写着NET::ERR_CERT_COMMON_NAME_INVALID

更新1:感谢@Zac67 67，我正在检查Trustpoint信息。当我们访问网页的开关时，我们使用https://ipaddress。我可以创建以下内容：

subject-name C=US, ST=Pennsylvania, L=My-Town, O=My-Org, OU=My-Department, CN=SWITCHNAME.DOMAIN.NET

但是，当我执行subject-alt-name 192.168.1.10时，它会给出以下错误：

CRYPTO_PKI: Label cannot be made only of digits. Also, ip addresses are not permitted

试着把地址放进CN里，但也不起作用。还说证书无效。

更新2:我正在使用如何定位这里：来创建一个RSA密钥。使用该密钥，我将使用我的CA作为信任点。我将拇指指纹提供给我的Microsoft以获得WebServer证书。我从我的CA获得WebServer证书，并以相同的方式将它导入到交换机中。然后我去网页，它说网页是无效的。证书来自我的域的CA。我看不出它怎么会认为是无效的。

更新3:所以我正在看里克关于SAN的建议。我要指出，我们不使用OpenSSL，因为我们是不允许的。我们必须使用我们的网络CA。对于CN，我已经将CN设置为证书的IP地址。因为says有一个单独的命令，上面写着ip-address，它添加了地址，而在那里，我有一个名为subject-name-alternative的不同命令，我不能向该命令中添加IP地址，因为它是不允许的。所以我发现我可以做以下几件事：

CN可包括以下内容：

• IP地址
• 主机名
• FQDN

SAN (主题名-可供选择)如下：

• 主机名
• FQDN

可以添加或不添加IP地址。

尝试了所有这些内容的混合，它仍然告诉我证书是无效的，错误是: NET::ERR_CERT_COMMON_NAME_INVALID。如果您查看“边缘”中的证书，如果我使用相同的指纹单独打开该证书，它将显示相同的证书。

那么，当使用Edge从IP地址访问它时，CN应该是什么？

在执行以下操作以使CSR添加IP地址行时，也要更新4。但是，当我查看证书时，它看起来不像是将IP地址添加到SAN中。实际上，证书根本没有SAN！看上去好像有什么东西在翻译中迷失了。

crypto pki trustpoint my-trustpoint
enrollment terminal pem 
subject-name C=US, ST=Pennsylvania, L=My-Town, O=My-Org, OU=My-Department, CN=My-Switch.my-network.com
subject-alt-name my-switch.my-network.com
serial-number none
ip-address 192.168.1.51
revocation-check none
rsakeypair my-4096rsa-key
end

知道为什么不把IP地址包括进SAN吗？