我使用以下 web-ui 在 pfSense 中生成证书:
我正在考虑生成一个证书,适合从多个域提供服务,最初来自localhost和nebula3。
这是正确的想法吗?
不幸的是,当我检查生成的证书时,openssl我看到以下内容
# openssl x509 -noout -subject -in nebula3.crt
subject= /C=RU/ST=Moscow/L=Moscow/O=In The Moon Network/[email protected]/CN=nebula3
即我只看到一个CN字段,没有SAN字段。
这是否肯定意味着pfSense网络界面存在错误,或者我应该在其他地方观看?
答案1
至于pfSense生成的证书,我最近一直在处理它们,并放弃在VPN服务器的上下文中使用它们。
基本上在签署 VPN 证书时,我使用以下额外属性:
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
subjectAltName = DNS:youralternanetname.uk, IP:193.x.x.x, DNS:193.x.x.x
nsCertType = server
extendedKeyUsage = serverAuth, 1.3.6.1.5.5.8.2.2
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
Windows 客户端似乎需要在证书中查看您的 VPN 服务器的 IP 地址。
您还需要向 openssl 命令行 CSR 请求添加选项:-extensions v3_req否则它不会显示,-noout因为它可能不存在。
至于在 pfSense 中加载我的证书,我这样做:
系统->证书。管理器->证书->+添加->导入现有证书。请注意,实际证书应包含整个 X.509 证书链。