Come creare un certificato server SSL autofirmato su OS X 10.7 per server di gestione RAID HighPoint?

0

Quando si hanno più macchine Mac con controller Highpoint RocketRaid e il software Web RAID Management v1.68 di HPT , risulta avere più copie di un identico certificato autofirmato /usr/share/hpt/hptsvr.pem ssl del server.

$ openssl x509 -text -in /usr/share/hpt/hptsvr.pem -issuer
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 0 (0x0)
        Signature Algorithm: md5WithRSAEncryption
        Issuer: C=US, ST=California, L=Fremont, O=HighPoint Technologies, Inc., OU=HPT, CN=127.0.0.1, CN=localhost, CN=mac.local, CN=127.0.0.1
        Validity
            Not Before: Sep  5 17:38:59 2011 GMT
            Not After : Sep  2 17:38:59 2021 GMT
        Subject: C=US, ST=California, L=Fremont, O=HighPoint Technologies, Inc., OU=HPT, CN=127.0.0.1, CN=localhost, CN=mac.local, CN=127.0.0.1
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (512 bit)
                Modulus (512 bit):
                    00:bc:cf:96:35:88:80:5c:06:df:bb:c6:13:5e:36:
                    e4:a6:73:76:fa:83:e1:31:4f:65:53:bb:67:d6:39:
                    89:82:a5:1e:fe:db:07:9e:71:8c:19:80:f4:9d:67:
                    9f:9a:2f:2e:ab:e8:32:72:47:81:6a:20:56:7a:d4:
                    60:e0:f6:29:b9
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            Netscape Cert Type:
                SSL Server
            Netscape Comment:
                HighPoint Technologies, Inc.
            Netscape SSL Server Name:
                mac.local
            Netscape SSL Server Name:
                127.0.0.1
            Netscape SSL Server Name:
                127.0.0.1
            Netscape SSL Server Name:
                localhost
    Signature Algorithm: md5WithRSAEncryption
        35:20:88:6a:71:81:7d:fe:8c:09:bb:56:9c:66:42:ce:fd:e2:
        9a:d0:3d:fb:e6:a3:0f:63:ae:1f:99:5d:ea:29:95:cb:95:f3:
        6a:15:86:33:a8:33:93:da:18:76:e9:ed:d3:18:cc:3b:d9:72:
        06:cc:dd:b0:b7:f1:a4:2e:ac:ca
issuer= /C=US/ST=California/L=Fremont/O=HighPoint Technologies, Inc./OU=HPT/CN=127.0.0.1/CN=localhost/CN=mac.local/CN=127.0.0.1

Il risultato è che le versioni più recenti di Firefox, come la v30, sono in grado di aprire solo la prima istanza di un certificato autofirmato e l'accesso all'altra copia, in esecuzione su un nome host diverso, viene bloccato con questo messaggio: strong> sec_error_reused_issuer_and_serial .

L'Apple Certificate Assistant che si trova in /System/Library/CoreServices/Certificate Assistant.app non riesce a creare un certificato corretto per il server Web SSL di Highpoint.

Il mio primo tentativo è di utilizzare l'applicazione "Certificate Assistant" di Apple. Tuttavia il suo certificato autofirmato generato non funziona (nessuna connessione https entro 30 secondi). Quando si confronta il cert di Highpoint con Cert generati da Apple, le differenze sono "Algoritmo di firma: sha256WithRSAEncryption " e " X509v3 Subject Alternative Name " (Apple), "Algoritmo di firma: md5WithRSAEncryption " (Punto culminante) e estensioni Netscape deprecate come " Netscape Cert Type: SSL Server "," Netscape Comment: HighPoint Technologies, Inc. "e due volte" Netscape SSL Server Name: 127.0.0.1 "e" Netscape SSL Server Name: localhost "e" Netscape SSL Server Name: mac.local "(punto culminante).

Come creare un certificato autofirmato unico che sostituisce il file .pem predefinito di Highpoint su Mac OS X 10.7 (Lion) preferibilmente sulla riga di comando?

    
posta Pro Backup 22.07.2014 - 19:42
fonte

1 risposta

1

Quando hai creato sovrapposizioni o riutilizzo di nomi host / indirizzi ip, con conseguente errore sec_error_reused_issuer_and_serial , elimina il certificato integrato utilizzando il terminale:

$ sudo rm -v /usr/share/hpt/hptsvr.pem

E riavvia il daemon raidman-httpsd usando questo comando:

$ sudo systemStarter restart raidman

Un nuovo file .pem basato su un hostname e un indirizzo IP corrispondenti verrà creato sulla prima richiesta https.

    
risposta data 22.07.2014 - 22:33
fonte

Leggi altre domande sui tag