Ansible X509证书缺失主题备用名称
[英]Ansible X509 certificate missing Subject Alternative Name
问题描述
我使用Vagrant和Ansible角色生成SSL / TLS证书,但无论我尝试什么,生成的证书都缺少主题备用名称:
- name: Create an SSL security key & CSR (Certificate Signing Request)
shell: openssl req -new -newkey rsa:2048 -nodes -keyout /etc/apache2/ssl/{{ item.host }}.key -subj "/subjectAltName=DNS.1={{ item.host }}, DNS.2=www.{{ item.host }}, IP.1=192.168.33.11/C={{params['ssl'].country_name}}/ST={{params['ssl'].state}}/L={{params['ssl'].locality}}/O={{params['ssl'].organization}}/CN={{ item.host }}" -out /etc/apache2/ssl/{{ item.host }}.csr
args:
executable: "/bin/bash"
with_items: "{{params['vhosts']}}"
when: item.ssl is defined and item.ssl
证书文件已生成,但谷歌Chrome总是说
Subject Alternative Name Missing
这是我的环境的调试:
$ openssl version
OpenSSL 1.0.2l 25 May 2017
$ openssl x509 -noout -text -in /etc/apache2/ssl/myhost.dev.crt
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
a2:77:35:c7:6a:72:35:22
Signature Algorithm: sha256WithRSAEncryption
Issuer: subjectAltName=DNS.1=myhost.dev, DNS.2=www.myhost.dev, IP.1=192.168.33.11, C=DE, ST=Berlin, L=Berlin, O=Ltd, CN=myhost.dev
Validity
Not Before: Jun 12 15:36:58 2017 GMT
Not After : Jun 10 15:36:58 2027 GMT
Subject: subjectAltName=DNS.1=myhost.dev, DNS.2=www.myhost.dev, IP.1=192.168.33.11, C=DE, ST=Berlin, L=Berlin, O=Ltd, CN=myhost.dev
2 个解决方案
解决方案1
2 2017-06-12 16:20:46
您的密钥不使用X509扩展。 要将它们添加到CSR,您需要一个配置文件,指定要添加的扩展名。 命令行界面不够友好,无法在命令行上轻松指定X509扩展。
你可以做的是使用bash的进程替换与生成的 ,当你调用动态修改配置文件中的命令openssl生成CSR:
openssl req \
-new -newkey rsa:2048 \
-subj "{your existing subject}" \
... \
-x509 \
-reqexts SAN \
-config <(
cat /etc/ssl/openssl.cnf
printf '\n[SAN]\nsubjectAltName=DNS:example.com,DNS:www.example.com'
)
同样, 进程替换 仅适用于GNU bash,如果CI运行程序的默认shell是Bourne Shell,则无法工作,因为它有时在基于Ubuntu的发行版上。
这个答案是从这里改编的。
解决方案2
1 已采纳 2017-06-18 09:45:51
在对openssl库进行一些研究并了解它是如何工作之后,我犯了使用-X509 *的错误:添加-X509将创建证书而不是请求!
我按照以下主要步骤解决了我的问题:
- 设置证书颁发机构:颁发数字证书的实体。
- 创建服务器或用户证书请求。
- 签署服务器证书请求。
- 将此密钥和证书添加到您的主机。
- 将证书添加到浏览器。
我在博客文章中写了一篇关于如何实现这一目标的一步一步的长篇教程。
如何在JBOSS 6 EAP icm AJP和SSL卸载中访问X509 subject.serialnumber
[英]How to access X509 subject.serialnumber in JBOSS 6 EAP icm AJP and SSL offloading
如何创建X509自签名证书以在Apache Tomcat中使用
[英]How to create X509 self signed certificate for use in Apache Tomcat
Traefik ssl 容器 - '500 Internal Server Error' 由以下原因引起:x509:证书对 127.0.0.1、::1 有效,而不是 172.xxx
[英]Traefik ssl containers - '500 Internal Server Error' caused by: x509: certificate is valid for 127.0.0.1, ::1, not 172.x.x.x
带有Apache mod_proxy_wstunnel的Websocket到带有javax.servlet.request.X509的tomcat
[英]Websocket with apache mod_proxy_wstunnel to tomcat with javax.servlet.request.X509Certificate
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
将X509证书放入HTTP请求中
生成没有名称空间前缀android(ds :)的x509证书
Apache X509 证书认证模式设置 HTTP 标头
如何在JBOSS 6 EAP icm AJP和SSL卸载中访问X509 subject.serialnumber
如何创建X509自签名证书以在Apache Tomcat中使用
Traefik ssl 容器 - '500 Internal Server Error' 由以下原因引起:x509:证书对 127.0.0.1、::1 有效,而不是 172.xxx
Apache如何从X509解析DN
X509Certificate 中的公钥和私钥
带有客户端证书主题名称的 Tomcat 7 访问日志
带有Apache mod_proxy_wstunnel的Websocket到带有javax.servlet.request.X509的tomcat
相关标签