当将 IP 地址添加到 openssl.cnf 时,x509 证书对任何名称均无效

当将 IP 地址添加到 openssl.cnf 时,x509 证书对任何名称均无效

自签名证书效果很好,在 ubuntu 机器上生成该证书的命令是:

openssl req -x509 -newkey rsa:4096 -keyout private.key -out cert.crt -days 365 -nodes

如果客户端使用 IP 地址而不是域名,则会失败。

要使 IP 地址正常工作,请按照之前关于由于不包含任何 IP SAN 而导致握手失败的问题和答案,对/etc/ssl/openssl.cnf进行了修改,将subjectAltName = IP:192.168.2.107添加到[v3_ca]部分。

此更改使 IP 地址正常工作,但域名不再起作用。错误消息为:

x509: certificate is not valid for any names, but wanted to match yoursubdomain.yourdomain.com

关于 SAN 的另一个来源基本上是建议相同的,但没有明确提示如何使 IP 地址和 DNS 同时工作。

如何让 IP 地址和域名协同工作?

相关内容