Tham gia Đăng nhập
Điểm:0
avatar Server

Chrome hiển thị ERR_CERT_COMMON_NAME_INVALID khi firefox hài lòng

lá cờ mc
Oleksandr Znachkov

Học cách làm việc với các chứng chỉ, có thể sẽ có máy chủ CA cục bộ. Tôi có máy chủ với BMC, vì vậy tôi đã sử dụng nó để thực hành. Đã tạo cặp CA, sau đó tạo cặp máy chủ và sau đó ký CSR máy chủ với cặp CA để nhận crt máy chủ. Tôi đã tải CA crt lên kho lưu trữ khóa đáng tin cậy của chrome và cặp máy chủ lên BMC. Bây giờ khi tôi vào máy chủ, tôi có thể thấy rằng BMC trả về đúng crt, nhưng chrome cho thấy kết nối không an toàn. Lý do là ERR_CERT_COMMON_NAME_INVALID. Tuy nhiên, khi tôi nhấp vào "Chứng chỉ không hợp lệ", tôi có thể thấy cả khóa và chứng chỉ đã ký được hiển thị là "Chứng chỉ này vẫn ổn". Tên DNS được sử dụng trong url = tên COMMON. Đồng thời, đối với Firefox thì không có vấn đề gì, với chứng chỉ của tôi thì tốt. Điều gì có thể sai?

Đã sử dụng trình tự này: #CA TƯ

openssl genrsa -out CAKEY.pem 2048

CHỨNG NHẬN #CA (được sử dụng trong trình duyệt). Tên thường gọi: ca.mydomain.com

openssl req -x509 -sha256 -new -nodes -key CAKEY.pem -days 3650 -out CACERT.pem -addext "subjectAltName = DNS:ca.mydomain.com"

#HOST KEY (up lên BMC), mình cần tắt mật khẩu bảo vệ ở đây, BMC không thích mật khẩu

openssl genrsa -out HOSTKEY.pem 2048

#HOST CSR. Tên thường gọi: host1.mydomain.com

openssl req -new -key HOSTKEY.pem -out HOSTCSR.pem -addext "subjectAltName = DNS:host1.mydomain.com"

#SIGN (đã tải lên BMC)

openssl x509 -req -CA CACERT.pem -CAkey CAKEY.pem -in HOSTCSR.pem -out HOSTCRT.PEM -days 3650 -CAcreateserial
18
0 + 0
dave_thompson_085 avatar
lá cờ jp
dave_thompson_085
Dupe https://serverfault.com/questions/1080084/chrome-not-trusting-self-signed-cert và nhiều hơn nữa được liên kết ở đó
0
Hồi đáp
Điểm:1
avatar Server
lá cờ br
garethTheRed

OpenSSL của x509 lệnh không sao chép phần mở rộng từ tệp CSR sang chứng chỉ đã ký trong phiên bản 1.1.1 trở về trước.

trên phiên bản mới nhất-copy_extensions <arg> tùy chọn, trong đó ` có thể là không ai, sao chép hoặc sao chép tất cả.

Bạn đang nhận được thông báo trong Chrome vì chứng chỉ của bạn chưa được sao chép tiện ích mở rộng Tên thay thế chủ đề (SAN), vì vậy chứng chỉ sẽ phàn nàn. Tôi tin rằng Firefox vẫn duy trì việc sử dụng Tên chung của Chủ đề nếu không có phần mở rộng Tên thay thế Chủ đề nào tồn tại, đó là lý do tại sao nó không phàn nàn.

Bạn có thể giải quyết vấn đề này bằng cách trỏ x509 lệnh sang tệp cấu hình khác với -extfile <file>-phần mở rộng <phần> tùy chọn. Tập tin <file> chỉ cần có một phần được đặt tên với các tiện ích mở rộng mà bạn muốn thêm vào chứng chỉ:

[ my_ext ]
chủ đềKeyIdentifier = hàm băm
authorityKeyIdentifier = keyid: luôn luôn
keyUsage = quan trọng, chữ ký số, keyEncipherment
ExtendedKeyUsage = serverAuth
chủ đềAltName = @alt_names
[alt_names]
DNS.1 = host1.mydomain.com
0 + 0
dave_thompson_085 avatar
lá cờ jp
dave_thompson_085
`-extfile` (không có `_`). Ngược lại, `req -new -x509 -addext` đưa SAN vào chứng chỉ CA, nhưng không có gì nhìn vào SAN trong chứng chỉ CA và nó hoàn toàn vô dụng và lãng phí.
1
Hồi đáp
lá cờ br
garethTheRed
@dave_thompson_085 - cảm ơn & đã sửa :-)
0
Hồi đáp
lá cờ mc
Oleksandr Znachkov
Cảm ơn bạn, giải pháp của bạn làm việc cho tôi. Tôi không thấy ở đây bất kỳ nút nào để biến câu trả lời của bạn thành giải pháp. Tôi có nên nhấn "Trả lời câu hỏi của bạn" không? `bash#openssl x509 -req -CA CACERT.crt -CAkey CAKEY.pem -in HOSTCSR.pem -out HOSTCRT.crt -days 3650 -CAcreateserial -extfile ext.txt -extensions my_ext` `bash#` `bash#cat ext.txt` `[ my_ext ]` `subjectKeyIdentifier = hash` `authorityKeyIdentifier = keyid:always` `keyUsage = quan trọng, chữ ký số, keyEncipherment` `extendKeyUsage = serverAuth` `subjectAltName = @alt_names` `[alt_names]` `DNS.1 = host1.mydomain.com`
0
Hồi đáp
lá cờ br
garethTheRed
Để đánh dấu câu trả lời là được chấp nhận, nhấp vào dấu kiểm bên cạnh câu trả lời để chuyển câu trả lời từ màu xám sang màu đã điền.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.