Регистрация Войти
Рейтинг:0
avatar Server

Информация об удостоверении OpenSSL не сохраняется в сертификате

флаг ro
Jeff Porten

Нам просто нужно было обновить наш SSL-сертификат после истечения срока действия первого года.Мы уже делали это несколько раз без каких-либо проблем — погуглите нужные флаги для использования с openssl, подключите их к Comodo, загрузите сертификаты, и все готово.

На этот раз мы столкнулись со всевозможными проблемами; наши (устаревшие) серверы macOS продолжали отбрасывать наши сертификаты как недействительные. Это вполне может быть проблемой на стороне macOS, так как они устарели на несколько лет, и я не удивлюсь, если им не придется писать код, чтобы говорить об обновленных методах шифрования. Но у нас также была проблема с нашим почтовым сервером: он работает с сертификатом, который мы запросили у генератора CSR по адресу https://www.digicert.com/easy-csr/openssl.htm, но он потерял идентификационную информацию: название компании, город, страну.

Появляется косметическая проблема, но важная косметика. Что могло быть причиной этого? Мы сгенерировали CSR с помощью OpenSSL 2.6.5 на macOS 10.14. (Да, ему тоже несколько лет, но у нас есть веские причины придерживаться Мохаве.)

121
0 + 0
dave_thompson_085 avatar
флаг jp
dave_thompson_085
(1) CA контролирует, какую идентификационную информацию помещать в ваш сертификат; согласно стандартам, это должны быть только те вещи, которые они подтвердили, и, за исключением EV (вы платили за EV?), в настоящее время это обычно не включает организацию и местоположение, хотя это зависит от того, какой именно тип сертификата вы получили, и от соответствующего подписчика ЦС. Соглашение и Заявление о практике сертификации — вы их читали?
0
Ответить
dave_thompson_085 avatar
флаг jp
dave_thompson_085
(2) если одноранговые узлы заявляют, что ваш сертификат недействителен, это не будет из-за какой-либо идентификационной информации, кроме _иногда_ вашего доменного имени в CN или SAN, но вы не говорите, в чем заключаются фактические ошибки; одна довольно распространенная ошибка заключается в неправильной настройке необходимых цепочек/промежуточных сертификатов вместе с сертификатом вашего объекта/сервера.
0
Ответить
dave_thompson_085 avatar
флаг jp
dave_thompson_085
PS: MacOS использует _LibreSSL_, который является ответвлением OpenSSL, а не настоящим OpenSSL, но на уровне пользователя небольшие внутренние различия обычно не имеют значения. Номера версий 2.что угодно характерны для Libre, а не для Open.
0
Ответить
флаг br
garethTheRed
Или вы отправили правильный _identity_ в первую очередь. Вы проверили, что CSR содержит требуемую тему? `openssl req -in -noout -subject` должен показать, что вы просили.
0
Ответить
флаг ro
Jeff Porten
Я не думаю, что мы заплатили за EV в этой лицензии — если это означает, что такая информация автоматически удаляется из сертификата, дайте мне знать, и я передам это клиенту. Мы попробовали это дважды, и оба раза информация была удалена, с интерактивными вопросами во время запроса сертификата и включением тега -subj в командную строку.
0
Ответить
флаг ro
Jeff Porten
Сертификат, кажется, работает нормально, нас просто беспокоят данные, которые показывают, когда пользователь выбирает отображение сертификата.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.