Certificato SSL autofirmato su chromebook (e Android)

Naviga le tue risposte
1

Sto riscontrando il seguente problema sia sul mio telefono Android che sul mio Chromebook. Sto eseguendo un sito Web su un server interno (10.3.3.3) utilizzando nginx con un certificato ssl autofirmato. Dato che è solo un server interno, ho inserito CN = 10.3.3.3. Tutte le nostre macchine desktop funzionano bene (danno un avvertimento sul certificato, ma dopo aver detto al browser di collegarsi comunque, funziona bene). Questo è vero per tutti i browser che ho provato sulle macchine desktop ( chrome , firefox, safari).

Il problema è sul mio telefono Android e Chromebook. Su entrambi, quando digito l'indirizzo IP, ottengo il tipico schermo giallo cromato che dice che c'è qualcosa di sbagliato nel certificato. Quando faccio clic su "procedi comunque", sembra che stia cercando di caricare, ma il sito non viene mai visualizzato. Che cosa devo fare per far funzionare Chrome su questi dispositivi mobili?

P.S. Ho importato il certificato in Chrome sul chromebook e viene mostrato sotto "Autorità".

Come test interessante, ho scaricato una macchina virtuale ChromiumOS e funziona perfettamente (fornisce un errore cert, ma quando faccio clic continui, tutto funziona bene). Avrei dovuto notare che il chromebook e il telefono Android arrivano tramite VPN, ma tutto il resto sulla VPN funziona bene (ssh al server web, ecc.).

Il certificato 


Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 9485437517293169565 (0x83a30b2a7d6c2b9d)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=XX, ST=XX, L=XXXX, O=XXXXXX
        Validity
            Not Before: Apr  2 12:41:40 2014 GMT
            Not After : Apr  1 12:41:40 2016 GMT
        Subject: C=XX, ST=XX, L=XXXX, O=XXXXXX
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    XXXXXXXXXX
                Exponent: XXXXX
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:TRUE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment, Certificate Sign
            X509v3 Subject Alternative Name: 
                IP Address:10.3.3.3
    Signature Algorithm: sha1WithRSAEncryption
    
posta mikeazo 01.04.2014 - 20:00
fonte

2 risposte

0

Risulta che il problema non ha nulla a che fare con il certificato e tutto ciò che ha a che fare con il fatto che il client sta arrivando attraverso la VPN. Quando il client era fisicamente sulla rete, tutto funzionava bene.

Ho finito per dover cambiare MTU sul server Ubuntu e tutto ha funzionato bene.

    
risposta data 14.04.2014 - 18:49
fonte
2
  • il nome comune non può essere un indirizzo IP. È possibile inserire gli indirizzi IP nella sezione del nome alternativo dell'oggetto, ma come indirizzo IP non DNS
  • il certificato potrebbe avere bisogno di una CA = true property se si vuole importarlo come autorità, semplicemente l'autofirmazione potrebbe non essere sufficiente. Potresti ancora riuscire a importarlo e verrà visualizzato, ma non funziona.
  • non è riuscito a farcela per Firefox e Chrome fino a quando non avrò utilizzato anche l'uso esteso della chiave "Autenticazione server Web TLS" nel certificato e anche il "server" Netscape Cert, che sembra essere mancante dal certificato. Dopo averlo aggiunto, funziona anche con Chrome su Android.

Questo è il certificato che funziona per me: 

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1893982163 (0x70e3dfd3)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=foo.com
        Validity
            Not Before: Apr  7 18:47:17 2014 GMT
            Not After : Apr  7 18:47:17 2015 GMT
        Subject: CN=foo.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus: ...
                 Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                32:04:C3:BF:60:46:D4:4A:90:2F:CC:55:F1:B1:7D:B7:BF:7A:61:4B
            X509v3 Authority Key Identifier:                    keyid:32:04:C3:BF:60:46:D4:4A:90:2F:CC:55:F1:B1:7D:B7:BF:7A:61:4B

            X509v3 Authority Key Identifier: 
                DirName:
                serial:70:E3:DF:D3

            X509v3 Subject Alternative Name: 
                IP Address:192.168.178.4
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            Netscape Cert Type: 
                SSL Server
    Signature Algorithm: sha256WithRSAEncryption
        ....
    
risposta data 01.04.2014 - 21:13
fonte

Leggi altre domande sui tag

Rimanenza dei dati della memoria RAM e doppio avvio, rischioso? Esistono exploit che consentirebbero a un utente di "falsificare" un sistema di cattura dello schermo?