Сертификат x509 недействителен для любых имен при добавлении IP-адреса в openssl.cnf

Question

Самозаверяющий сертификат работает хорошо, в то время как команда, использованная для его генерации на машине с Ubuntu:

openssl req -x509 -newkey rsa:4096 -keyout private.key -out cert.crt -days 365 -nodes

Если на стороне клиента вместо имени домена используется IP-адрес, произойдет сбой.

Чтобы заставить IP-адрес работать, следуя инструкциям из этого предыдущего вопроса и ответа о неудачном рукопожатии из-за отсутствия каких-либо IP-сетей SAN, /etc/ssl/openssl.cnf модифицируется, чтобы иметь subjectAltName = IP:192.168.2.107 добавлен в [v3_ca] раздел.

Это изменение заставляет IP-адрес работать хорошо, однако доменное имя больше не работает. Сообщение об ошибке:

x509: certificate is not valid for any names, but wanted to match yoursubdomain.yourdomain.com

Другой источник о SAN в основном предлагает то же самое без четкой подсказки, как заставить работать и IP-адрес, и DNS одновременно.

Как совместить IP-адрес и доменное имя?

ssl-certificate openssl self-signed-certificate x509 subject-alternative-names

Источник

minghua 10 ноя '18 в 18:30

0 ответов

Другие вопросы по тегам ssl-certificate openssl self-signed-certificate x509 subject-alternative-names