înregistrare Logare
Puncte:0
avatar Server

Informațiile de identitate OpenSSL nu au fost lipite în certificat

drapel ro
Jeff Porten

Doar ni s-a cerut să ne actualizăm certificatul SSL după data de expirare a primului an.Am mai făcut acest lucru de mai multe ori fără probleme – Google indicatoarele potrivite pentru a le folosi cu openssl, conectați-l la Comodo, încărcați certificatele și suntem gata.

De data aceasta ne-am confruntat cu tot felul de probleme; Serverele noastre (învechite) macOS au continuat să ne anuleze certificatele ca fiind nevalide. Aceasta ar putea fi foarte bine o problemă din partea macOS, deoarece aceștia sunt depășiți de ani de zile și nu aș fi surprins dacă nu trebuie să codifice pentru a vorbi despre tehnici de criptare actualizate. Dar am avut și o problemă cu serverul nostru de e-mail: funcționează cu certificatul pe care l-am solicitat de la generatorul CSR la https://www.digicert.com/easy-csr/openssl.htm, dar a pierdut informațiile de identitate: numele companiei, orașul stat țara.

Pare a fi o problemă cosmetică, dar cosmetice importante. Ce ar fi putut cauza asta? Am generat CSR folosind OpenSSL 2.6.5 pe macOS 10.14. (Da, de asemenea, vechi de câțiva ani, dar avem motive întemeiate să rămânem cu Mojave.)

121
0 + 0
dave_thompson_085 avatar
drapel jp
dave_thompson_085
(1) CA controlează ce informații de identitate să pună în certificatul dvs.; conform standardelor ar trebui să fie doar lucruri pe care le-au validat și, cu excepția EV (ai plătit pentru EV?) în zilele noastre, asta în general nu include organizarea și locația, deși depinde exact de ce tip de certificat ai obținut și de abonatul CA aplicabil. Declarație de practică privind acordul și certificarea -- le-ați citit?
0
Răspunde
dave_thompson_085 avatar
drapel jp
dave_thompson_085
(2) dacă colegii susțin că certificatul dvs. este invalid, nu va fi din cauza altor informații de identitate decât _uneori_ numele dvs. de domeniu în CN sau SAN, dar nu spuneți care sunt erorile reale; o eroare destul de comună este să nu configurați corect lanțul/certificațiile intermediare necesare împreună cu certificatul de entitate/server.
0
Răspunde
dave_thompson_085 avatar
drapel jp
dave_thompson_085
PS: MacOS folosește _LibreSSL_, care este un furk al OpenSSL, nu chiar OpenSSL adevărat, dar la nivel de utilizator diferențele interne minore de obicei nu contează. Numerele versiunii 2.orice sunt caracteristice pentru Libre și nu pentru Open.
0
Răspunde
drapel br
garethTheRed
Sau, ați trimis în primul rând _identitatea_ corectă. Ați verificat dacă CSR conține Subiectul necesar? `openssl req -in -noout -subject` ar trebui să arate ceea ce ai cerut.
0
Răspunde
drapel ro
Jeff Porten
Nu cred că am plătit pentru EV în această licență... dacă asta înseamnă că astfel de informații sunt eliminate automat din certificat, anunțați-mă și voi transmite asta clientului. Am încercat de două ori și informațiile au fost dezbrăcate de ambele ori, cu întrebări interactive în timpul solicitării certificatului și prin includerea unei etichete -subj în linia de comandă.
0
Răspunde
drapel ro
Jeff Porten
Certificatul pare să funcționeze bine, suntem doar îngrijorați de datele care apar atunci când un utilizator alege să afișeze certificatul.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.