Certificado SSL autofirmado en Chromebook (y Android)

1

Tengo el siguiente problema tanto en mi teléfono Android como en mi Chromebook. Estoy ejecutando un sitio web en un servidor interno (10.3.3.3) utilizando nginx con un certificado ssl autofirmado. Como solo es un servidor interno, pongo el CN = 10.3.3.3. Todas nuestras máquinas de escritorio funcionan bien (dan una advertencia sobre el certificado, pero después de que le indiquemos al navegador que se conecte, funciona bien). Esto se aplica a todos los navegadores que he probado en las máquinas de escritorio ( chrome , firefox, safari).

El problema está en mi teléfono Android y Chromebook. En ambos, cuando escribo la dirección IP, aparece la típica pantalla amarilla de Chrome que dice que hay algo mal con el certificado. Cuando hago clic en "proceder de todos modos", parece que está intentando cargar, pero el sitio nunca aparece. ¿Qué debo hacer para que Chrome funcione en estos dispositivos móviles?

P.S. Importé el certificado en Chrome en el Chromebook y aparece en "Autoridades".

Como prueba interesante, descargué una máquina virtual ChromiumOS y funciona bien (da un error de certificación, pero cuando hago clic en continuar, todo funciona bien). Debería haber notado que el Chromebook y el teléfono Android están llegando a través de VPN, pero todo lo demás en la VPN funciona bien (ssh para el servidor web, etc.).

El certificado


Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 9485437517293169565 (0x83a30b2a7d6c2b9d)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=XX, ST=XX, L=XXXX, O=XXXXXX
        Validity
            Not Before: Apr  2 12:41:40 2014 GMT
            Not After : Apr  1 12:41:40 2016 GMT
        Subject: C=XX, ST=XX, L=XXXX, O=XXXXXX
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    XXXXXXXXXX
                Exponent: XXXXX
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:TRUE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment, Certificate Sign
            X509v3 Subject Alternative Name: 
                IP Address:10.3.3.3
    Signature Algorithm: sha1WithRSAEncryption
    
pregunta mikeazo 01.04.2014 - 20:00
fuente

2 respuestas

0

Resulta que el problema no tenía nada que ver con el certificado y con el hecho de que el cliente estaba llegando a través de la VPN. Cuando el cliente estaba físicamente en la red, todo funcionaba bien.

Terminé cambiando la MTU en el servidor de Ubuntu y todo funcionó bien.

    
respondido por el mikeazo 14.04.2014 - 18:49
fuente
2
  • el nombre común no puede ser una dirección IP. Puede poner las direcciones IP en la sección de nombre alternativo del sujeto, pero como dirección IP no DNS
  • el certificado puede necesitar una propiedad CA = true si desea importarlo como autoridad, simplemente la firma automática puede no ser suficiente. Es posible que aún puedas importarlo y se mostrará, pero no funciona.
  • no funcionó para Firefox y Chrome hasta que también puse el uso de la clave extendida de "Autenticación del servidor web TLS" en el certificado y también el 'servidor' del tipo de certificación Netscape, que parece faltar en su certificado. Después de haber agregado ambos, también funciona con Chrome en Android.

Este es el certificado que me funciona:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1893982163 (0x70e3dfd3)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=foo.com
        Validity
            Not Before: Apr  7 18:47:17 2014 GMT
            Not After : Apr  7 18:47:17 2015 GMT
        Subject: CN=foo.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus: ...
                 Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                32:04:C3:BF:60:46:D4:4A:90:2F:CC:55:F1:B1:7D:B7:BF:7A:61:4B
            X509v3 Authority Key Identifier:                    keyid:32:04:C3:BF:60:46:D4:4A:90:2F:CC:55:F1:B1:7D:B7:BF:7A:61:4B

            X509v3 Authority Key Identifier: 
                DirName:
                serial:70:E3:DF:D3

            X509v3 Subject Alternative Name: 
                IP Address:192.168.178.4
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            Netscape Cert Type: 
                SSL Server
    Signature Algorithm: sha256WithRSAEncryption
        ....
    
respondido por el Steffen Ullrich 01.04.2014 - 21:13
fuente

Lea otras preguntas en las etiquetas