Este posibil să generați un certificat cu CN care conține doar asterisc

MOHAMED

24.04.2023, 11:39

Dezvolt un server web pentru un dispozitiv local. Dispozitivul va fi accesat local și nu din exterior folosind adresa IP locală. Am generat un certificat folosind openssl cu CN=* pentru a evita verificarea numelui de gazdă.

Dar aceasta returnează o altă eroare:

requests.exceptions.SSLError: HTTPSConnectionPool(host='192.168.17.31', port=443): Numărul maxim de reîncercări a fost depășit cu adresa URL: /lua/device (Cauzată de SSLError(SSLCertVerificationError("unicul wildcard fără etichete suplimentare nu este acceptat: '*) '.")))

computerul meu nu știe numele de gazdă al dispozitivului. dar stie adresa ip. și vreau ca validarea certificatului să se facă automat și nu manual folosind cheia publică de pe computerul meu

Cum se face un certificat care nu generează eroare în verificarea numelui de gazdă?

0 + 0

partajarea ecranului

memcached

certificat ssl

NiKiZe

24.04.2023, 13:14

Generarea unui certificat este cel mai probabil ok, probabil că ați făcut-o deja. Întrebarea este dacă este valabil și dacă îl poți folosi. Chiar și potrivirea pe IP poate fi dificilă (nu este permisă în SNI).

Răspunde

dave_thompson_085

25.04.2023, 00:25

Rețineți că validarea certificatului are două părți: (1) este semnat de un CA de încredere (și nu a fost modificat) și nu este depășit de valabilitate sau este revocat? (2) Identitatea certificată a gazdei (în SAN dacă este prezentă altfel CN) se potrivește cu numele din adresa URL solicitată? Numai (1) utilizează chei publice root-CA stocate pe mașina dvs.; (2) folosește numele în adresa URL.

Răspunde

Puncte:1

Server

AlexD

24.04.2023, 12:26

Puteți emite un certificat pentru IP-ul cunoscut folosind Subject Alternative Name (SAN).

0 + 0

NiKiZe

24.04.2023, 13:05

Totuși, rețineți că SNI nu permite potrivirea pe IP. Deci ar putea cauza probleme.

Răspunde

AlexD

24.04.2023, 14:04

@NiKiZe atunci când un site este accesat cu un IP precum `https://1.1.1.1/`, atunci SNI nu este inițiat deloc.

Răspunde

dave_thompson_085

25.04.2023, 00:21

Utilizarea SAN este o practică mai bună, dar majoritatea clienților, alții decât Chrome(ium?) -- inclusiv cererile Python -- acceptă și „tradiționalul” IPaddr-in-CN.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Is it possible to generate a certificat with CN contains only asterisk

TH: เป็นไปได้ไหมที่จะสร้างใบรับรองด้วย CN ที่มีเครื่องหมายดอกจันเท่านั้น

RO: Este posibil să generați un certificat cu CN care conține doar asterisc

RU: Можно ли сгенерировать сертификат с CN, содержащим только звездочку

VI: Có thể tạo chứng chỉ với CN chỉ chứa dấu hoa thị không

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.