%2F%E4%B8%BB%E4%BD%93%E5%A4%87%E7%94%A8%E5%90%8D%E7%A7%B0%20(SAN)%20%E5%9C%A8%20Microsoft%20%E5%85%AC%E9%92%A5%E5%9F%BA%E7%A1%80%E8%AE%BE%E6%96%BD%20(PKI)%20%E4%B8%AD%E8%B5%B7%E4%BB%80%E4%B9%88%E4%BD%9C%E7%94%A8%EF%BC%9F.png)
什么是主题名称/主题备用名称以及它们彼此有何不同? 特别是“主题名称”选项卡下方的模板。除了在注册证书时需要将信息放入主题选项卡中的额外步骤之外,这对普通证书申请有何影响? 主题名称 (SN)/主题备用名称 (SAN) 在 Microsoft 公钥基础结构 (PKI) 中的作用是什么?SAN 如何使用?哪些场景可从将其纳入证书中受益? ...
.png)
我一直在尝试创建具有主题备用名称的自签名证书;但是,尽管证书已成功创建,但 SAN 并未添加到其详细信息中。 这是我用来创建唱歌请求的命令。 openssl req -newkey rsa:2048 -nodes -sha256 -keyout server.key -out server.csr -config openssl-san.cnf 这是配置文件的内容。 [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extens...
桑坦德银行想要使用我们的网站,但是在尝试访问时收到以下错误: “网络错误:您的请求联系了一个提供由不受信任的颁发者签名的证书的主机。” 这条信息以红色文本和他们的徽标显示在页面上,因此这是他们在验证我们的网站是否可以安全使用时发出的自定义消息。他们的技术团队回应说,这是由于我们网站上的证书已过期,DST 根 CA X3我相信这是 LetsEncrypt(我们将其用于我们的证书)使用的旧证书。这是 ssllabs.com 针对我们站点的证书输出的认证路径: 据我所知,我相信这不会造成问题,除非他们使用非常旧的网络浏览器,因为任何现代浏览器都应该使用“路径#1...
我们有一个有效的内部证书流程和有关如何使用它的说明certreq;但是在 Windows 11 上它停止正确生成 SAN。 内部 certreq 模板: [Version] Signature="$Windows NT§" [NewRequest] Subject = "CN=<machine-name>.domain-name,O=Cedaron,OU=<machine-name>,ST=California,L=Davis,C=US" KeyLength = 2048 KeySpe...
我正在尝试使用 openssl 和主题备用名称生成 CSR,但是我收到一条错误消息,指出 adext 没有选项。请参阅下面的命令。我正在使用OpenSSL 1.0.2k-fips openssl req -new \ -newkey rsa:2048 -nodes -keyout {domain-name}.key \ -out {domain-name}.csr \ -subj "/C=GB/ST=test/L=/O=test/OU=test/CN={domain-name}.com" \ -addext "subjectAltName = DNS:fir...
我公司拥有https://data.ddl.at,其中包括 的 SAN(主题备用名称)gitlab.ddl.at。此 Gitlab 服务器是内部的,域名仅由我们的内部 DNS 服务器解析。作为参考,还有 SANhttps://sicher.ddl.at,它是公开的,并且在浏览器中有效。 我已经在Gitlab-Server上配置了此证书,当我转到时gitlab.ddl.at,该证书已通过浏览器验证并被视为有效。 问题出现时,我尝试使用 Gitlab-Runner。我在另一台机器上安装并注册了一个,一开始遇到了一些问题,之后我让它连接到主实例,但作业仍然无法签出...
当 kube-apiserver systemd 服务器启动时,我看到以下错误消息。 无法验证 192.168.101.101 的证书,因为它不包含任何 IP SAN”。正在重新连接... 以下是针对 kube-apiserver 二进制文件给出的参数。 kube_apiserver_params: "--admission-control={{ apiserver_admission_controllers | join(',') }}" “--广告地址=192.168.101.101” “--allow-privileged=true” “--...
我有一个包含 X509v3 主题备用设置的证书,但 Chrome 67.0.3396.99 说缺少主题备用名称,即使它看起来包含在证书中。 以下是证书的 X509v3 部分openssl s_client -showcerts -connect www.mysite.org:443 </dev/null 2> /dev/null | openssl x509 -noout -text X509v3 extensions: X509v3 Basic Constraints: CA...
自签名证书效果很好,在 ubuntu 机器上生成该证书的命令是: openssl req -x509 -newkey rsa:4096 -keyout private.key -out cert.crt -days 365 -nodes 如果客户端使用 IP 地址而不是域名,则会失败。 要使 IP 地址正常工作,请按照之前关于由于不包含任何 IP SAN 而导致握手失败的问题和答案,对/etc/ssl/openssl.cnf进行了修改,将subjectAltName = IP:192.168.2.107添加到[v3_ca]部分。 此更改使 IP 地...
有人能向 5 岁的孩子解释一下备用名称的用法吗?为什么有些域名有这么多备用名称? 所有这些域名都共享一个证书吗?使用备用名称是否存在安全风险(MitM 攻击?)? ...
我正在管理 Windows 2008 ADCS CA,并且已经意识到使用 SAN 颁发证书的安全风险。因此,我测试了在请求中颁发带有 SAN 的 PKCS10 文件,并且在应该被阻止时,它却颁发了带有 SAN 的证书。 为了确保万无一失,我使用命令 certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2 (注意减号)来删除 SAN 标志(如果存在),但实际上不存在。 图像 但是,当使用如下内容时,这会阻止从附加请求属性中添加 SAN:san:dns=webmail.domainc...
似乎最新版本的 Chrome、Firefox 和 Vivaldi 不再支持由 Active Directory 证书服务生成的域证书,因为它们缺少 subjectAltName。我的问题是如何生成包含 subjectAltName 的“请求证书”?我更喜欢使用 IIS 向导。 ...
我们正在运行具有多个 SMTP 域的 Exchange 2010 环境,我们也为其配置了自动发现。 现在我们发现一些自动发现地址尚未在证书中添加为 SAN,因此在用户配置配置文件时会向用户发出警告。 是否可以向现有证书添加更多 SAN / DNS 名称?如果可以,我该怎么做? ...
我的 Synology NAS 能够通过 HTTPS 运行 Web 界面。默认情况下,您可以通过其名称(例如mynas)http(s)://myname:5001或访问 NAS http(s)://myname.local。它默认为 的 SSL 证书synology.com。 您可以使用 Let's Encrypt 创建一个新证书;将所需的端口从路由器转发到 NAS,我从我拥有的域中创建了一个子域,并更新了 DNS 以指向我的家庭 IP。(例如home.my-domain-i-own.com) 我希望可以输入myname;myname.local主题备用...
有人能用简单的方式向我解释一下这些证书之间的区别吗?我读过一些文章,但听起来它们做着同样的工作,即用一个证书加密多个域。 ...