Perché Firefox non accetta il mio certificato?

Naviga le tue risposte
2

Ho cercato di ottenere stunnel per lavorare con il mio certificato firmato (con una CA di cui mi sono fidato in Firefox). L'errore è:

127.0.0.1:5559 uses an invalid security certificate.
The certificate is only valid for 127.0.0.1
Error code: SSL_ERROR_BAD_CERT_DOMAIN

Tuttavia, 127.0.0.1 è in nomi DNS alternativi. Ecco il mio file di configurazione OpenSSL: 

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
CN = chacheserver.net
[v3_req]
keyUsage = digitalSignature, keyEncipherment, dataEncipherment, keyAgreement
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = chacheserver.net
DNS.2 = *.chacheserver.net
DNS.3 = *.*.chacheserver.net
DNS.4 = *.*.*.chacheserver.net
DNS.5 = 192.168.1.130
DNS.6 = 192.168.1.70
DNS.7 = 192.168.2.130
DNS.8 = 192.168.2.70
DNS.9 = 192.168.8.70
DNS.10 = 192.168.8.130
DNS.11 = 127.0.0.1
    
posta Basel Sayeh 01.05.2016 - 21:43
fonte

2 risposte

5

Prova a contrassegnare i tuoi IP con tipo IP. (invece di digitare DNS. ).

Vale a dire, fai in modo che la tua sezione assomigli a questa: 

[alt_names]
DNS.1 = chacheserver.net
DNS.2 = *.chacheserver.net
DNS.3 = *.*.chacheserver.net
DNS.4 = *.*.*.chacheserver.net
DNS.5 = 192.168.1.130
DNS.6 = 192.168.1.70
DNS.7 = 192.168.2.130
DNS.8 = 192.168.2.70
DNS.9 = 192.168.8.70
DNS.10 = 192.168.8.130
DNS.11 = 127.0.0.1
IP.1 = 192.168.1.130
IP.2 = 192.168.1.70
IP.3 = 192.168.2.130
IP.4 = 192.168.2.70
IP.5 = 192.168.8.70
IP.6 = 192.168.8.130
IP.7 = 127.0.0.1

Alcuni browser danneggiati (gli Internet Explorer più vecchi, penso) in realtà si aspettano che gli IP siano contrassegnati come "DNS". Quindi per la retrocompatibilità è possibile lasciare gli IP contrassegnati come sono e ANCHE aggiungerli contrassegnati con l'ID di tipo "IP".

Ulteriori letture

Sidenote: i caratteri jolly multipli probabilmente non funzioneranno.

Non credo che molti clienti accetteranno più di un singolo jolly.

Quindi probabilmente accetteranno questi: 

DNS.1 = chacheserver.net
DNS.2 = *.chacheserver.net

Ma respingi questi: 

DNS.3 = *.*.chacheserver.net
DNS.4 = *.*.*.chacheserver.net
    
risposta data 02.05.2016 - 09:29
fonte
3

Hai aggiunto 127.0.0.1 al tuo DNS alternativo per il certificato, ma 127.0.0.1 è un indirizzo IP, non un nome di dominio. Il campo DNS richiede l'uso di un nome di dominio, il che significa che il client effettua una ricerca sul nome di dominio dell'IP e ottiene localhost . Poiché questo non corrisponde ( "127.0.0.1" != "localhost" ) ottieni l'errore di corrispondenza errata.

Il campo che stai cercando è subjectAltName . Ciò consente di impostare nomi comuni alternativi (CN), compresi gli indirizzi IP.

    
risposta data 01.05.2016 - 22:09
fonte

Leggi altre domande sui tag

È sicuro avere solo il binding https in IIS? Perché il salvataggio di un salato come testo normale migliora ancora la sicurezza? [duplicare]