¿Por qué Firefox no acepta mi certificado?

2

He estado intentando que stunnel funcione con mi certificado firmado (con una CA en la que confié en Firefox). El error es:

  

127.0.0.1:5559 utiliza un certificado de seguridad no válido.
  El certificado solo es válido para 127.0.0.1
  Código de error: SSL_ERROR_BAD_CERT_DOMAIN

Sin embargo, 127.0.0.1 está en nombres DNS alternativos. Aquí está mi archivo de configuración de OpenSSL:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
CN = chacheserver.net
[v3_req]
keyUsage = digitalSignature, keyEncipherment, dataEncipherment, keyAgreement
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = chacheserver.net
DNS.2 = *.chacheserver.net
DNS.3 = *.*.chacheserver.net
DNS.4 = *.*.*.chacheserver.net
DNS.5 = 192.168.1.130
DNS.6 = 192.168.1.70
DNS.7 = 192.168.2.130
DNS.8 = 192.168.2.70
DNS.9 = 192.168.8.70
DNS.10 = 192.168.8.130
DNS.11 = 127.0.0.1
    
pregunta Basel Sayeh 01.05.2016 - 21:43
fuente

2 respuestas

5

Intente marcar sus IP con el tipo IP. (en lugar del tipo DNS. ).

Es decir, haz que tu sección se vea así:

[alt_names]
DNS.1 = chacheserver.net
DNS.2 = *.chacheserver.net
DNS.3 = *.*.chacheserver.net
DNS.4 = *.*.*.chacheserver.net
DNS.5 = 192.168.1.130
DNS.6 = 192.168.1.70
DNS.7 = 192.168.2.130
DNS.8 = 192.168.2.70
DNS.9 = 192.168.8.70
DNS.10 = 192.168.8.130
DNS.11 = 127.0.0.1
IP.1 = 192.168.1.130
IP.2 = 192.168.1.70
IP.3 = 192.168.2.130
IP.4 = 192.168.2.70
IP.5 = 192.168.8.70
IP.6 = 192.168.8.130
IP.7 = 127.0.0.1

Algunos navegadores rotos (los antiguos Internet Explorer, creo) en realidad esperan que las IP se marquen como "DNS". Por lo tanto, para la compatibilidad con versiones anteriores, puede dejar las IP marcadas como están y TAMBIÉN agregarlas marcadas con el ID de tipo "IP".

Lectura adicional

Sidenote: probablemente no funcionen varios comodines.

No creo que muchos clientes acepten más que un solo comodín.

Por lo que probablemente aceptarán estos:

DNS.1 = chacheserver.net
DNS.2 = *.chacheserver.net

Pero recházalos:

DNS.3 = *.*.chacheserver.net
DNS.4 = *.*.*.chacheserver.net
    
respondido por el StackzOfZtuff 02.05.2016 - 09:29
fuente
3

Has agregado 127.0.0.1 a tu DNS alternativo para el certificado, pero 127.0.0.1 es una dirección IP, no un nombre de dominio. El campo DNS requiere el uso de un nombre de dominio, lo que significa que el cliente realiza una búsqueda en el nombre de dominio de la IP y obtiene localhost . Como esto no coincide ( "127.0.0.1" != "localhost" ), obtienes el error de falta de coincidencia.

El campo que está buscando es subjectAltName . Esto le permite establecer nombres comunes alternativos (CN), incluidas las direcciones IP.

    
respondido por el Polynomial 01.05.2016 - 22:09
fuente

Lea otras preguntas en las etiquetas