alterator-ca alterator-sslkey Доброго времени суток. Вопрос относится к указанным выше пакетам. Действия: Установлен Альт Сервер 10.2 в минимальной установке. полное имя машины master.mkucb.alt (это контроллер домена на Samba). Обновлен через apt-get dist-upgrade. Установлены пакеты alterator-fbi, alterator-sslkey и alterator-ca. Заходим в WEB интерфейс. Модуль удостоверяющий центр, заполняем страну и название организации, получаем собственно УЦ. Скачиваем ca-root.pem, добавляем в system-trusted.. Используется Яндекс браузер (для организаций) из репозитория p10. При попытке входа в альтератор по https://ip адрес сервера:8080 или полному имени https://master.mkucb.alt:8080, или https://mkucb.alt:8080 проблема заключается в том, что ЯБ не доверяет сертификату. Пишет Сертификат сервера не соответствует адресу сайта. Перегенерация сертификата ahttpd ничего не меняет. Мои мысли - в alterator-sslkey и alterator-ca (но тут не уверен, что нужно) нет возможности добавить/указать Subject Alt Name (SAN) и соответственно потому браузер и не доверяет сертификату. По крайней мере Гугление в Яндексе наводит только на такие мысли. Вот материал по теме, на основании которого (и ему подобных) сделан вывод: https://sysadminium.ru/create-own-certificate-authority-on-linux/#Sozdau_kornevoj_sertifikat Возможно, решением могла бы стать возможность в веб интерфейсе добавлять поля SAN или автоматически их добавлять (каким нибудь образом, допустим IP такой то, hostname такой то и итак далее) мимо интерфейса при генерации УЦ и и сертификатов служб, ahttpd, postfix и прочее. Спасибо.
Created attachment 17328 [details] Alt_Error_cert1.png
Created attachment 17329 [details] Alt_Error_cert2.png
Created attachment 17330 [details] Alt_Error_cert3.png
На скриншоте во вложении ошибка cert common authority, после перегенерации сертификата для ahttpd получаю error common name
Версия - alterator-sslkey-0.2.4-alt1 - alterator-ca-0.5.8-alt1 Шаги воспроизведения На сервере: # hostnamectl set-hostname mysite.ru && reboot # apt-get install -y alterator-fbi alterator-sslkey alterator-ca # systemctl enable --now ahttpd.service # echo "https://$(hostname -i):8080" 1. Настройка → Режим Эксперта → Применить. 2. Перейти в Удостоверяющий Центр и задать параметры 1. Страна (C): RU 2. Организация: Test Corp 3. Применить изменения. 4. Перейти в Управление ключами SSL и задать параметры 1. Общее имя (CN): mysite.ru 2. Страна (C): RU 3. Местоположение (L): Moscow 4. Организация (O): Test Corp 5. Подразделение (OU): Test OU 6. E-mail адрес: test@mysite.ru 5. Отметить чекбокс (Пере)создать ключ и запрос на подпись 6. Нажать Подтвердить. 7. Перейти в Удостоверяющий Центр 8. Выбрать Локальные сертификаты 9. Отметить все чекбоксы. 10. Нажать Подписать 11. Выбрать Вернуться к списку. 12. Выбрать вкладку Управление УЦ. 13. Скачать на клиент ca-root.pem. На клиентe: # apt-get install -y firefox chromium yandex-browser-stable # cp ca-root.pem /etc/pki/ca-trust/source/anchors/ && update-ca-trust # echo <SERVER IP> mysite.ru >> /etc/hosts Перейти по адресу https://mysite.ru в браузерах Chromium, Firefox, Yandex Browser. Ожидаемый результат: вход в браузерах без предупреждений. Фактический результат: - в Firefox ошибка: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT - в Yandex Browser: ERR_CERT_AUTHORITY_INVALID - в Chromium: ERR_CERT_AUTHORITY_INVALID Дополнительные ссылки: - https://stackoverflow.com/questions/59738140/why-is-firefox-not-trusting-my-self-signed-certificate - Эту гипотезу я даже перепроверил. В качестве веб-сервера использовал Python Http Server (python3 -m http.server). - https://security.stackexchange.com/questions/271698/why-is-a-v3-extension-needed-for-a-x-509-certificate-to-be-used-to-test-https-on Воспроизводится в P10.
