Сертификат для Gitlab-Server недействителен для альтернативного имени субъекта.

Question

Сертификат для Gitlab-Server недействителен для альтернативного имени субъекта.

У моей компании есть сертификат https://data.ddl.at , который, среди прочего, имеет SAN (альтернативное имя субъекта) для . Этот Gitlab-сервер является внутренним, а доменное имя разрешается только нашим внутренним DNS-сервером. Для справки: существует также SAN https://sicher.ddl.at , который является общедоступным и действителен в браузере.

Я настроил этот сертификат на Gitlab-сервере, и когда я перехожу к нему, сертификат проверяется браузером и считается действительным.

Проблемы возникают, когда я пытаюсь использовать Gitlab-Runner. У меня один установлен и зарегистрирован на другой машине, и после некоторых проблем поначалу мне удалось подключиться к основному экземпляру, но задания по-прежнему не могут извлечь подмодули, бегун получаетserver certificate verification failed.

Теперь о том, что я считаю основным симптомом проблемы: если я запускаюopenssl s_client -connect data.ddl.at:443, Я получил:

      CONNECTED(00000005)
depth=2 OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
verify return:1
depth=0 businessCategory = Private Organization, serialNumber = FN 374566h, jurisdictionC = AT, jurisdictionL = Wels, jurisdictionST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Str. 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
verify return:1
---
Certificate chain
 0 s:businessCategory = Private Organization, serialNumber = FN 374566h, jurisdictionC = AT, jurisdictionL = Wels, jurisdictionST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Str. 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
   i:C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
 1 s:C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
   i:OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
---
Server certificate
[...]

И в конце:Verify return code: 0 (ok)

Теперь, когда я бегуopenssl s_client -connect gitlab.ddl.at:443, Я получил:

      CONNECTED(00000005)
depth=0 businessCategory = Private Organization, serialNumber = 374566h, jurisdictionC = AT, jurisdictionL = Wels, jurisdictionST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Stra\C3\9Fe 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 businessCategory = Private Organization, serialNumber = 374566h, jurisdictionC = AT, jurisdictionL = Wels, jurisdictionST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Stra\C3\9Fe 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:businessCategory = Private Organization, serialNumber = 374566h, jurisdictionC = AT, jurisdictionL = Wels, jurisdictionST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Stra\C3\9Fe 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
   i:C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
---
Server certificate
[...]

Поскольку первая ошибкаunable to get local issuer certificate.

Я также пробовал это с общедоступнымsicher.ddl.at, с той же ошибкой, что и .

Сертификат, который он получает, предназначен дляdata.ddl.at, но у него есть SANgitlab.ddl.at, разве это не должно сделать его действительным? Что я делаю не так?

0

ssl-certificate openssl gitlab subject-alternative-names

Источник

Pipelynx 11 авг '21 в 11:34

0 ответов

Другие вопросы по тегам ssl-certificate openssl gitlab subject-alternative-names