înregistrare Logare
Puncte:-2
SS YY KK avatar Server

Nu se pot reînnoi certificatele ssl, notAfter nu se modifică niciodată

drapel cn
SS YY KK

Ultimele două zile am încercat să rezolv problema cu certificatul ssl pe serverele noastre.

Avem două servere A și B, Am putut să conectez A la B, dar B a schimbat certificatul ssl. Au partajat această cheie și am importat-o ​​pe aceea, dar când încerc să conectez B, primesc

$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443
Verificați error:num=10:certificatul a expirat
notAfter=17 septembrie 12:00:00 2021 GMT

Deci asta este încă veche. Apoi încerc să înțeleg dacă nu am putut importa un fișier .crt nou și dacă este unul vechi.

$ openssl x509 -in B.crt -noout -date
   notBefore=4 aug 00:00:00 2021 GMT
   notAfter=4 aug 23:59:59 2022 GMT

Nu, după cum vedeți, certificatul este nou și valabil. Așa că am încercat să-l folosesc pentru a testa conexiunea la B.

$ openssl s_client -connect B:443 -CAfile B.crt

Dar tot se întoarce

 Verificați error:num=10:certificatul a expirat
 notAfter=17 septembrie 12:00:00 2021 GMT

Ce ar trebui să fac acum?

93
0 + 0
drapel in
Gerald Schneider
Ați repornit serviciul după înlocuirea fișierelor de certificat?
2
Răspunde
SS YY KK avatar
drapel cn
SS YY KK
Te referi la openssl? Nu am repornit nimic, chiar și eu folosesc -CAfile, există două rezultate diferite. Când verific validitatea din fișierul .crt, atunci pare valid. Dar când încerc să conectez acest fișier crt valid, revine deoarece nu folosește niciodată fișierul .crt.
0
Răspunde
drapel in
Gerald Schneider
După înlocuirea unui fișier de certificat, trebuie să reporniți sau să reîncărcați serviciile care îl folosesc, astfel încât acestea să poată încărca noul certificat.
1
Răspunde
Puncte:1
vidarlo avatar Server
drapel ar
vidarlo 
$  openssl s_client -CApath /etc/ssl/certs/ -connect B:443
verify error:num=10:certificate has expired
notAfter=Sep 17 12:00:00 2021 GMT

So B sends an expired certificate. According to comments, they send a valid certificate when you use SNI to request the certificate for name B.

The solution is obviously to use SNI, as this is what B has tested and implemented.

0 + 0
SS YY KK avatar
drapel cn
SS YY KK
Dar când încerc certificatul pe care îl trimit, cum ar fi openssl x509 -in B.crt -noout -dates, primesc datele corecte.
0
Răspunde
vidarlo avatar
drapel ar
vidarlo
B evident nu folosește acel certificat, deoarece datele nu se potrivesc. Când vă conectați la B, B trimite un certificat pe care îl folosește pentru a se autentifica. Ceea ce contează este certificatul pe care îl trimite B, nu ceea ce ați stocat local.
0
Răspunde
SS YY KK avatar
drapel cn
SS YY KK
Pot vedea din browser că folosesc acest certificat, datele se potrivesc cu browserul.
0
Răspunde
vidarlo avatar
drapel ar
vidarlo
Deci nu rulezi B? Contactați pe oricine conduce B.
0
Răspunde
SS YY KK avatar
drapel cn
SS YY KK
Mulțumesc, deoarece se pot conecta la SNI, cum ar fi openssl s_client -CApath /etc/ssl/certs/ -connect B:443 -servername B , ei spun că problema este cu certificatele noastre. Dar când verific https://serverfault.com/questions/799345/openssl-returns-the-expired-certificate-while-browser-shows-the-correct-one post, cred că trebuie să modifice unele fișiere de configurare, ce fac crezi?
0
Răspunde
vidarlo avatar
drapel ar
vidarlo
Ok, deci evident că se așteaptă la SNI. Ai *incercat* cu SNI? Nu prea înțeleg capul sau finalul acestei întrebări.
0
Răspunde
SS YY KK avatar
drapel cn
SS YY KK
Hmm, da am încercat. Aș putea obține codul de returnare Verificare: 0 (ok) cu SNI $openssl s_client -connect B:443 -servername B. Mulțumesc, voi informa B și îi voi anunța că problema este de partea lor.
0
Răspunde
vidarlo avatar
drapel ar
vidarlo
Problema nu este de partea lor. Ei se așteaptă, evident, să folosești SNI, iar tu nu.
0
Răspunde
SS YY KK avatar
drapel cn
SS YY KK
Ei au eliminat controlul Sni în timp ce certificatul obligatoriu. Acum funcționează, mulțumesc.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.