Bug 52348

Summary: Не доверяет подписанному сертификату с помощью модуля Удостоверяющий Центр
Product: Sisyphus Reporter: Dmitry Popov <chronoxnova>
Component: alterator-caAssignee: Andrey Cherepanov <cas>
Status: NEW --- QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: alimektor, cas, chronoxnova, shevchenkodyu
Version: unstable   
Hardware: x86_64   
OS: Linux   
Attachments:
Description Flags
Alt_Error_cert1.png
none
Alt_Error_cert2.png
none
Alt_Error_cert3.png none

Description Dmitry Popov 2024-12-05 09:41:52 MSK 
alterator-ca
alterator-sslkey

Доброго времени суток. Вопрос относится к указанным выше пакетам.

Действия:
Установлен Альт Сервер 10.2 в минимальной установке.
полное имя машины master.mkucb.alt (это контроллер домена на Samba).
Обновлен через apt-get dist-upgrade.
Установлены пакеты alterator-fbi, alterator-sslkey и alterator-ca.
Заходим в WEB интерфейс.
Модуль удостоверяющий центр, заполняем страну и название организации, получаем собственно УЦ.
Скачиваем ca-root.pem, добавляем в system-trusted..
Используется Яндекс браузер (для организаций) из репозитория p10.

При попытке входа в альтератор по https://ip адрес сервера:8080 или полному имени https://master.mkucb.alt:8080, или https://mkucb.alt:8080 проблема заключается в том, что ЯБ не доверяет сертификату. Пишет Сертификат сервера не соответствует адресу сайта.

Перегенерация сертификата ahttpd ничего не меняет.

Мои мысли - в alterator-sslkey и alterator-ca (но тут не уверен, что нужно) нет возможности добавить/указать Subject Alt Name (SAN) и соответственно потому браузер и не доверяет сертификату.

По крайней мере Гугление в Яндексе наводит только на такие мысли.
Вот материал по теме, на основании которого (и ему подобных) сделан вывод:
https://sysadminium.ru/create-own-certificate-authority-on-linux/#Sozdau_kornevoj_sertifikat

Возможно, решением могла бы стать возможность в веб интерфейсе добавлять поля SAN или автоматически их добавлять (каким нибудь образом, допустим IP такой то, hostname такой то и итак далее) мимо интерфейса при генерации УЦ и и сертификатов служб, ahttpd, postfix и прочее.

Спасибо.
Comment 1 Dmitry Popov 2024-12-05 09:42:36 MSK 
Created attachment 17328 [details]
Alt_Error_cert1.png
Comment 2 Dmitry Popov 2024-12-05 09:43:10 MSK 
Created attachment 17329 [details]
Alt_Error_cert2.png
Comment 3 Dmitry Popov 2024-12-05 09:43:27 MSK 
Created attachment 17330 [details]
Alt_Error_cert3.png
Comment 4 Dmitry Popov 2024-12-05 09:44:44 MSK 
На скриншоте во вложении ошибка cert common authority, после перегенерации сертификата для ahttpd получаю error common name
Comment 5 Evgeny Shesteperov 2024-12-13 15:58:48 MSK 
Версия

-   alterator-sslkey-0.2.4-alt1
-   alterator-ca-0.5.8-alt1

Шаги воспроизведения

На сервере:

    # hostnamectl set-hostname mysite.ru && reboot

    # apt-get install -y alterator-fbi alterator-sslkey alterator-ca
    # systemctl enable --now ahttpd.service
    # echo "https://$(hostname -i):8080"

1.  Настройка → Режим Эксперта → Применить.
2.  Перейти в Удостоверяющий Центр и задать параметры
    1.  Страна (C): RU
    2.  Организация: Test Corp
3.  Применить изменения.
4.  Перейти в Управление ключами SSL и задать параметры
    1.  Общее имя (CN): mysite.ru
    2.  Страна (C): RU
    3.  Местоположение (L): Moscow
    4.  Организация (O): Test Corp
    5.  Подразделение (OU): Test OU
    6.  E-mail адрес: test@mysite.ru
5.  Отметить чекбокс (Пере)создать ключ и запрос на подпись
6.  Нажать Подтвердить.
7.  Перейти в Удостоверяющий Центр
8.  Выбрать Локальные сертификаты
9.  Отметить все чекбоксы.
10. Нажать Подписать
11. Выбрать Вернуться к списку.
12. Выбрать вкладку Управление УЦ.
13. Скачать на клиент ca-root.pem.

На клиентe:

    # apt-get install -y firefox chromium yandex-browser-stable

    # cp ca-root.pem /etc/pki/ca-trust/source/anchors/ && update-ca-trust

    # echo <SERVER IP> mysite.ru >> /etc/hosts

Перейти по адресу https://mysite.ru в браузерах Chromium, Firefox,
Yandex Browser.

Ожидаемый результат: вход в браузерах без предупреждений.

Фактический результат:

-   в Firefox ошибка: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT
-   в Yandex Browser: ERR_CERT_AUTHORITY_INVALID
-   в Chromium: ERR_CERT_AUTHORITY_INVALID

Дополнительные ссылки:

-   https://stackoverflow.com/questions/59738140/why-is-firefox-not-trusting-my-self-signed-certificate
    -   Эту гипотезу я даже перепроверил. В качестве веб-сервера
        использовал Python Http Server (python3 -m http.server).
-   https://security.stackexchange.com/questions/271698/why-is-a-v3-extension-needed-for-a-x-509-certificate-to-be-used-to-test-https-on

Воспроизводится в P10.