Como alias um nome comum de certificado ssl?

4

Eu tenho um servidor, que tem um certificado auto-assinado, que estou tentando acessar com segurança. Eu obtive o certificado observando a saída de openssl s_client -connect <ip> e copiei para testcert.pem, que eu tentei usar com curl --cacert testcert.pem <url> . No entanto, isso não funcionou, e minha pesquisa me levou a acreditar que o problema pode ser a linha no certificado que lê Subject: CN=id23946 .

Aparentemente, eu preciso armazenar um alias em algum lugar no meu sistema, ligando id23946 ao endereço IP, mas não consigo encontrar nenhuma informação sobre como fazer isso. Então, como faço isso? Como faço para que o curl verifique se este certificado é válido?

Editar: Estou ciente de que posso me conectar ao servidor adicionando <ip> id23946 ao meu arquivo hosts e, em seguida, usando id23946 como o endereço, mas eu realmente preferiria poder conectar-me diretamente ao endereço real do servidor, sem ter que modificar o servidor certificado. Existe alguma maneira de fazer isso?

    
por Benubird 19.08.2013 / 16:09

1 resposta

3

Infelizmente, não há como fazer o que você quer, fora da obtenção de um novo certificado que contenha ex. extensões de SAN (Subject Alternative Name) para os outros nomes DNS / Endereços IP pelos quais seu cliente TLS entraria em contato com esse servidor.

O motivo é que esse "aliasing" precisa ser confiável pelo processo de verificação do X509, e a única coisa que facilita a vinculação confiável de informações - incluindo aliases como "this subject / cert é também associado ao nome DNS site.example.com e ao endereço IP 1.2.3.4 "- é ter esses aliases / associações contidos no próprio certificado . O processo de verificação confia no certificado de assinatura e, portanto, a assinatura do certificado de emissão precisa abranger tudo sobre esse assunto, incluindo aliases. Tudo o que o certificado emitente afirma ser válido está contido no próprio certificado.

Outra maneira de pensar sobre isso é "se não for assinado pelo certificado de emissão, não será confiável".

    
por 29.01.2016 / 05:53