#iis #dns #openssl #certificate #cname
#iis #dns #openssl #сертификат #cname
Вопрос:
Здесь машина laptop.mylocaldomain.net , в то время как dev — это запись CNAME, использующая псевдоним хоста ноутбука с локального DNS-сервера. Оба отвечают на запросы и дают тот же IP-адрес, что и ожидалось.
Будь то Firefox, Chrome или Edge, хотя, если я перейду к https://dev:8080 / при запуске в IIS с ноутбука с самозаверяющим сертификатом я получаю сообщение об ошибке Не подключался: потенциальная проблема безопасности и не могу подключиться к сайту, но если я использую https://dev.mylocaldomain.net:8080 / это тот же IP-адрес, скажем, я получаю предупреждение: Потенциальная угроза безопасности впереди, и я могу перейти на веб-сайт.
Также https://laptop:8080 / выдает то же предупреждение: Предупреждение о потенциальной угрозе безопасности впереди, и я могу перейти на веб-сайт. Только CNAME https://dev:8080 / не работает.
Сценарий создания сертификата:
#/bin/sh
sudo openssl genrsa -out LocalDevelopmentCert.key 2048
sudo openssl req -new -key LocalDevelopmentCert.key -sha256 -days 3650 -out LocalDevelopmentCert.csr -config openssl.cnf
sudo openssl x509 -req -days 3650 -in LocalDevelopmentCert.csr -signkey LocalDevelopmentCert.key -out LocalDevelopmentCert.crt -extensions v3_req -extfile openssl.cnf
sudo openssl pkcs12 -name "Local Development IIS Cert" -export -out LocalDevelopmentCert.pfx -inkey LocalDevelopmentCert.key -in LocalDevelopmentCert.crt
Раздел Alt Names в openssl.cnf:
[alt_names]
DNS.1 = *.mylocaldomain.net
DNS.2 = dev
IP.1 = 192.168.XXX.XXX # <- IP address of dev laptop
Я попытался установить CN для различных перестановок адресов, таких как dev, dev.mylocaldomain.net и т.д. Похоже, ни один из них не работает в браузерах.
Как я могу получить https://dev:8080 / работает?
ОБНОВЛЕНИЕ 1:
Раздел отчета о диагностике SSL Jesux Manager:
BINDING: https *:8080:
SSLCertHash: b10671ac592ea5363db0a189fa72180d49ff1956
SSL Flags: None
Testing EndPoint: 127.0.0.1
Cannot find certificate with thumbprint b10671ac592ea5363db0a189fa72180d49ff1956 in store My.
В Windows 10 нет хранилища под названием «Мой». Я проверил каждое хранилище в MMC как для текущего пользователя, так и для локального компьютера, чтобы убедиться в отсутствии дубликатов.
Обновление 2:
Я использовал следующий метод для создания самозаверяющего сертификата, который сообщает, что работает в Jexus Manager, и его свойства показывают, что сертификат в порядке.
#!/bin/sh
echo "
[req]
default_bits = 2048
prompt = no
default_md = sha256
x509_extensions = v3_req
distinguished_name = dn
[dn]
C = MyCountry
ST = MyState
L = MyLocality
O = Local Org
OU = Local Org Unit
emailAddress = admin@mylocaldomain.net
CN = *.mylocaldomain.net
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = dev.mylocaldomain.net
DNS.2 = dev
DNS.3 = prod.mylocaldomain.net
DNS.4 = prod
DNS.5 = www
DNS.6 = laptop
DNS.7 = desktop
DNS.8 = localhost
">openssl.current.cnf
sudo openssl req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout localcert.key -days 3650 -out localcert.crt -config openssl.current.cnf
sudo openssl pkcs12 -export -out localcert.pfx -inkey localcert.key -in localcert.crt -name "Local Dev Certificate"
Он отлично работает как самозаверяющий сертификат Edge и Chrome, но не в Firefox. Требует ли Firefox, чтобы вы были вашим собственным центром сертификации для локальной разработки?
Комментарии:
1. docs.jexusmanager.com/tutorials/ssl-diagnostics.html
2. Я проверил это, диагностика SSL сообщает следующее: «Не удается найти сертификат с отпечатком пальца b10671ac592ea5363db0a189fa72180d49ff1956 в хранилище My.», но есть сертификат с этим отпечатком пальца в личном, я не уверен насчет «Моей» части. У меня нет хранилища сертификатов, которое начинается с «My».
3. Я изучаю возможность запуска моего собственного центра сертификации, но задаюсь вопросом, нужна ли мне альтернативная конфигурация для указания subjectAltName в pem центра сертификации.
4. Если вы отредактируете вопрос, чтобы включить отчет (сначала замаскируйте личную информацию), тогда могут быть предоставлены дополнительные рекомендации. Вы не можете установить сертификат сервера в свою личную учетную запись, поскольку IIS ищет сертификаты только в учетной записи компьютера. Вот почему SSL Diag сообщает вам, что что-то не так.
5. Тогда вы почти закончили. Firefox отличается от Chrome и Edge, поскольку требует от вас выполнения дополнительных шагов, support.mozilla.org/en-US/kb / … чтобы расширить интеграцию с Windows.