înregistrare Logare
Puncte:0
avatar Server

Chrome afișează ERR_CERT_COMMON_NAME_INVALID când Firefox este fericit

drapel mc
Oleksandr Znachkov

Învățând cum să lucrați cu certificate, poate că va avea un server CA local. Am un server cu BMC, așa că l-am folosit pentru exersare. Perechea CA generată apoi perechea gazdă și apoi CSR gazdă semnat cu perechea CA pentru a obține crt gazdă. Am încărcat CA crt în depozitul de chei de încredere Chrome și perechea de gazdă în BMC. Acum, când merg la server, pot vedea că BMC returnează crt corect, dar Chrome arată că conexiunea nu este sigură. Motivul este ERR_CERT_COMMON_NAME_INVALID. Cu toate acestea, când fac clic pe „Certificatul nu este valid”, pot vedea ambele chei și certificatul semnat este afișat ca „Acest certificat este OK.”. Nume DNS folosit în url = nume COMMON. În același timp, pentru Firefox nicio problemă, este bine cu certificatele mele. Ce poate fi în neregulă?

Folosit această secvență: #CA PRIVAT

openssl genrsa -out CAKEY.pem 2048

#CERTIFICAT CA (utilizat în browser). Nume comun: ca.mydomain.com

openssl req -x509 -sha256 -new -nodes -key CAKEY.pem -days 3650 -out CACERT.pem -addext "subjectAltName = DNS:ca.mydomain.com"

#HOST KEY (încărcat în BMC), trebuie să dezactivez aici protecția prin parolă, BMC nu-i place parola

openssl genrsa -out HOSTKEY.pem 2048

#HOST CSR. Nume comun: host1.mydomain.com

openssl req -new -key HOSTKEY.pem -out HOSTCSR.pem -addext „subjectAltName = DNS:host1.mydomain.com”

#SIGN (încărcat în BMC)

openssl x509 -req -CA CACERT.pem -CAkey CAKEY.pem -in HOSTCSR.pem -out HOSTCRT.PEM -zile 3650 -CAcreateserial
18
0 + 0
dave_thompson_085 avatar
drapel jp
dave_thompson_085
Dupe https://serverfault.com/questions/1080084/chrome-not-trusting-self-signed-cert și mai multe linkuri acolo
0
Răspunde
Puncte:1
avatar Server
drapel br
garethTheRed

OpenSSL-uri x509 comanda nu copiază extensia din fișierul CSR în certificatul semnat în versiunea 1.1.1 și anterioare.

Pe ultima versiune acolo este -copy_extensions <arg> opțiune, unde ` poate fi nici unul, copie sau copyall.

Primiți mesajul în Chrome, deoarece certificatul dvs. nu a copiat extensia Subject Alternative Name (SAN), așa că se plânge. Cred că Firefox păstrează utilizarea CommonName al subiectului dacă nu există extensie Subject Alternative Name, motiv pentru care nu se plânge.

Puteți rezolva acest lucru arătând x509 comanda într-un alt fișier de configurare cu -extfile <fișier> si -extensii <sectiune> Opțiuni. Fișierul <file> trebuie doar să aibă o secțiune numită cu extensiile pe care doriți să le adăugați la certificat:

[ my_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = critic, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subiectAltName = @alt_names
[alt_names]
DNS.1 = host1.mydomain.com
0 + 0
dave_thompson_085 avatar
drapel jp
dave_thompson_085
`-extfile` (fără `_`). În schimb, `req -new -x509 -addext` pune SAN în certificatul CA, dar nimic nu se uită vreodată la SAN într-un certificat CA și este complet inutil și irosit.
1
Răspunde
drapel br
garethTheRed
@dave_thompson_085 - mulțumesc și rezolvat :-)
0
Răspunde
drapel mc
Oleksandr Znachkov
Mulțumesc, soluția ta funcționează pentru mine. Nu văd aici niciun buton pentru ca răspunsul tău să fie soluția. Ar trebui să apăs pe „Răspunde la întrebarea ta”? `bash#openssl x509 -req -CA CACERT.crt -CAkey CAKEY.pem -in HOSTCSR.pem -out HOSTCRT.crt -days 3650 -CAcreateserial -extfile ext.txt -extensions my_ext` `bash#` `bash#cat ext.txt` `[ my_ext ]` `subjectKeyIdentifier = hash` `authorityKeyIdentifier = keyid:always` `keyUsage = critic, digitalSignature, keyEncipherment` `extendedKeyUsage = serverAuth` `subjectAltName = @alt_names` `[alt_names]` `DNS.1 = host1.mydomain.com`
0
Răspunde
drapel br
garethTheRed
Pentru a marca un răspuns ca acceptat, faceți clic pe bifa de lângă răspuns pentru a-l comuta de la gri la completat.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.