那些遇到过的问题

证书验证忽略通用名称而只检查备用名称?

Jan*_*dec 2 ssl nginx kubernetes

我有一个证书,CN=*.some.domain然后有备用名称DNS:*.sub1.some.domainDNS:*.sub2.some.domain(还有 2 个这样的)。

我向 kubernetes 中的 nginx-ingress 提供了证书,该证书提供host.some.domain. 它给了我错误:

controller.go:1041] unexpected error validating SSL certificate default/tls-cert for host dwarf30.epiqa.certicon.cz. Reason: x509: certificate is valid for *.sub1.some.domain, *.sub2.some.domain, not host.some.domain
Run Code Online (Sandbox Code Playgroud)

该消息明显没有提及通用名称,它只列出了替代名称。

是我误解了 CN 和 Alternates 如何交互,还是 nginx-ingress 控制器中的问题(注意:helm 坚持安装相当旧的容器版本 0.13.0)?

Ste*_*ich 6

从 2000 年开始标准化 HTTPS(基于 TLS 的 HTTP)的RFC 2818已经明确指出:

如果存在 dNSName 类型的 subjectAltName 扩展,则必须将其用作标识。

由于您将 DNS 名称作为主题备用名称,因此 CN 将被忽略。请注意,使用 CN 而不是主题备用名称已被弃用多年,并且某些浏览器(特别是 Chrome)只会查看主题备用名称,如果不存在 SAN,即使 CN 可能与域匹配,也会失败。

归档时间:

查看次数:

1134 次

最近记录:

7 年,8 月 前
相关归档
在 nginx 配置中设置 ssl_prefer_server_ciphers 指令 25
为什么 Nginx 比 lighttpd 更受欢迎? 21
nginx:为什么我不能将 proxy_set_header 放在 if 子句中? 12
如何查看对请求应用了哪些 nginx 重写规则? 8
增加打开文件描述符的最大数量有什么后果 6
为什么 Chrome 会抱怨“过时的密码学”? 5
如何配置我的 Elastic Load Balancer 以平衡 SSL 流量? 4
我应该使用 TLS 1.1/TLS 1.2 而不是 SSL v3? 1
位置从域重定向到 nginx 中的另一个域 1
NFS 服务器和客户端都在工作,但数据不在服务器上? 0
难疑归档
如何检查库是否已安装? 196
在没有窗口的计划任务中运行 .bat 文件 158
如何将 Nginx 设置为缓存反向代理? 149
OpenSSH:internal-sftp 和 sftp-server 之间的区别 115
美国东西海岸的“典型”网络延迟是多少? 110
在 CentOS 中向 $PATH 添加目录? 100
可以将 IIS 配置为将请求转发到另一台 Web 服务器吗? 83
SSH突然返回无效格式 72
Windows 命令提示符:如何将命令的输出放入环境变量中? 62
我可以比每分钟更频繁地运行 cron 作业吗? 54