{"id":656,"date":"2018-05-28T07:47:45","date_gmt":"2018-05-28T05:47:45","guid":{"rendered":"http:\/\/www.instruyete.org\/?p=656"},"modified":"2018-05-28T07:47:45","modified_gmt":"2018-05-28T05:47:45","slug":"subjectaltname","status":"publish","type":"post","link":"https:\/\/www.instruyete.org\/?p=656","title":{"rendered":"subjectAltName"},"content":{"rendered":"

Seit Chrome 58 funktionieren einige https Verbindungen nicht mehr, da der\u00a0 Browser das Zertifikat als ung\u00fcltig erkl\u00e4rt<\/a>.<\/p>\n

Hintergrund ist RFC2818<\/strong>, der die Namenserkennung des zu sichernden Servers nicht mehr im CN (Common Name<\/em>) Feld, sondern via DNS Eintrag in Feld SAN<\/strong> (Subject Alternative Name<\/em>).<\/p>\n

Nach einigen Versuchen, hat sich gezeigt, dass das Zertifikatsrequest noch nicht unbedingt die Requested Extension x509v3 Subject Alternative Name haben muss.<\/p>\n

Sp\u00e4testens aber beim Signieren muss es aber in das Zertifikat (public key) eingetragen werden. Dazu schaut man in der OpenSSL Steuerungsdatei<\/p>\n

\/etc\/ssl\/openssl.cnf<\/pre>\n
wohin die Variable<\/p>\n
x509_extensions<\/pre>\n
zeigt. Dabei handelt es sich um eine Sektion die weiter unten mit [ ] eingeschlossen ist. Dort tr\u00e4gt man folgende Zeile ein.<\/p>\n
subjectAltName=${ENV::SAN}<\/pre>\n
Dies erlaubt eine dynamische Zuweisung des DNS Eintrags als Umgebungsvariable, die man bspw. vor der Signierung auf der Kommandozeile setzt.<\/p>\n
export SAN=DNS:www.testserver.org<\/pre>\n
Die Umgebungsvariable ist aber mit der o.g. Konfiguration auch notwendig, da sonst openssl ein extension Fehler wirft.<\/p>\n
Abgeleitet wurde diese Konfiguration von dieser Webseite – danke daf\u00fcr<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"
Seit Chrome 58 funktionieren einige https Verbindungen nicht mehr, da der\u00a0 Browser das Zertifikat als ung\u00fcltig erkl\u00e4rt. Hintergrund ist RFC2818, der die Namenserkennung des zu sichernden Servers nicht mehr im CN (Common Name) Feld, sondern via DNS Eintrag in Feld SAN (Subject Alternative Name). Nach einigen Versuchen, hat sich gezeigt, dass das Zertifikatsrequest noch nicht … subjectAltName<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[24,23],"class_list":["post-656","post","type-post","status-publish","format-standard","hentry","category-unix","tag-openssl","tag-subjectaltname"],"_links":{"self":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts\/656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=656"}],"version-history":[{"count":1,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts\/656\/revisions"}],"predecessor-version":[{"id":657,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts\/656\/revisions\/657"}],"wp:attachment":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}