Mac OS X: i certificati firmati dalla CA fidata della società non possono essere verificati

0

Sto tentando di impostare un portachiavi su Apache Tomcat che contenga un certificato del server firmato da un certificato CA root personalizzato. (non sono sicuro se l'abitudine sia la parola giusta qui, ma è un certificato di base che ho creato io stesso e di cui mi voglio fidare). L'idea alla base di questo è che tutti i certificati firmati da questa CA dovrebbero essere considerati attendibili.

Ecco i passaggi che ho fatto

Crea il certificato radice (che mi fido del mio portachiavi)

openssl req -new -x509 -sha512 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 365 -config ./openssl.cnf

Crea una chiave del server e una richiesta di firma del certificato

openssl req -new -nodes -sha512 -out name-req.pem -keyout private/name-key.pem -days 365 -config ./openssl.cnf

Firma la richiesta con la CA creata nel passaggio 1 e genera un certificato

openssl ca -out name-cert.pem -days 365 -config ./openssl.cnf -infiles name-req.pem

Crea il file PKCS12

openssl pkcs12 -sha512 -export -in name-cert.pem -inkey private/name-key.pem -certfile cacert.pem -name "[friendly name]" -out name-cert.p12

Imposta un keystore PKCS12 per Tomcat

openssl pkcs12 -export -in name-cert.pem -inkey private/name-key.pem -out mycert.p12 -name tomcat -CAfile cacert.pem -caname root -chain

Ho installato il keystore in tomcat correttamente e posso accedere al connettore HTTPS

Ho installato il certificato CA nel mio portachiavi dove è contrassegnato come attendibile per tutti gli utenti.

Tuttavia,quandoaccedoallapaginautilizzandounbrowser(Firefox/Safari),lovedoancora:

Perché questo certificato (emesso da "CA" e "CA" è un certificato contrassegnato come attendibile per tutti gli utenti) genera ancora un errore?

    
posta ddewaele 01.11.2014 - 19:28
fonte

1 risposta

1

Non ci sono molti dettagli sul certificato stesso, ma presumo che ci si stia connettendo a un indirizzo IP e si stia tentando di utilizzare l'indirizzo IP come nome comune all'interno del certificato. Per quanto ne so, questo non è supportato da Safari. Richiede invece che gli indirizzi IP siano specificati all'interno della sezione SAN (soggetti alternativi nomi) del certificato come tipo IP.

Ciò significa che questo non è un problema della CA, ma un problema del certificato stesso.

Vedi anche link e anche RFC2818 :

In some cases, the URI is specified as an IP address rather than a hostname. In this case, the iPAddress subjectAltName must be present in the certificate and must exactly match the IP in the URI.

    
risposta data 01.11.2014 - 21:10
fonte

Leggi altre domande sui tag