O nome alternativo do assunto deve ser exibido pelo utilitário openssl?

Navegue suas respostas
3

Estou usando o seguinte web-ui para gerar certificados no pfSense:

Eu estava pensando em gerar um certificado, adequado para veiculação de vários domínios, de forma semelhante de localhost e nebula3 .

Esta ideia foi correta?

Infelizmente, quando estou inspecionando o certificado gerado com openssl , vejo o seguinte 

# openssl x509 -noout -subject -in nebula3.crt
subject= /C=RU/ST=Moscow/L=Moscow/O=In The Moon Network/[email protected]/CN=nebula3

i.e. Eu vejo apenas um campo CN e nenhum campo SAN .

Isso definitivamente significa que pfSense tem um bug na interface da web ou eu deveria assistir em outro lugar?

    
por Dims 20.11.2016 / 11:12

1 resposta

0

Quanto aos certificados gerados pelo pfSense, lidei com eles recentemente e desisti de usá-los no contexto de um servidor VPN.

Basicamente, ao assinar certificados VPN, eu uso esse atributo extra: 

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment

subjectAltName = DNS:youralternanetname.uk, IP:193.x.x.x, DNS:193.x.x.x
nsCertType                      = server
extendedKeyUsage = serverAuth, 1.3.6.1.5.5.8.2.2
keyUsage = digitalSignature, keyEncipherment, dataEncipherment

Parece que os clientes Windows precisam ver o endereço IP do seu servidor VPN no certificado.

Você também precisa adicionar à solicitação de CSR da linha de comando openssl a opção: -extensions v3_req ou caso contrário, ela não será mostrada em -noout porque provavelmente não está lá.

Quanto ao carregamento dos meus certificados no pfSense, eu faço:

Certificação System- > Gerenciar > Certificados > + Adicionar > Importante um certificado existente. Tenha em atenção que o certificado real deve conter toda a cadeia de certificados X.509.

    
por 20.11.2016 / 14:10

Tags

NFSv3, mapeando GID através de sistemas Unix heterogêneos r8169 pára de funcionar depois de um tempo