亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

由于 x509 證書依賴于舊版“公用名”字段,因此無法連接到具有 Golang 的服務器

由于 x509 證書依賴于舊版“公用名”字段,因此無法連接到具有 Golang 的服務器

泛舟湖上清波郎朗 2022-09-12 16:29:41
我正在嘗試在mongodb服務器上進行連接,要進行連接,我必須提供CA證書文件以及tls證書文件。當我使用以下命令時,我沒有問題$ mongo --host customhost:port DB --authenticationDatabase=DB -u ACCOUNT -p PWD --tls --tlsCAFile /etc/ca-files/new-mongo.ca.crt --tlsCertificateKeyFile /etc/ca-files/new-mongo-client.pem 但是當我嘗試使用mongo連接(并且僅使用tls客戶端進行測試)時,我遇到了以下錯誤:failed to connect: x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0如果我使用env變量,一切都很好,但我想知道如何修復它而不必使用它。const CONFIG_DB_CA = "/etc/ca-files/new-mongo.ca.crt"func main() {    cer, err := tls.LoadX509KeyPair("mongo-server.crt", "mongo-server.key")    if err != nil {        log.Println(err)        return    }    roots := x509.NewCertPool()    ca, err := ioutil.ReadFile(CONFIG_DB_CA)    if err != nil {        fmt.Printf("Failed to read or open CA File: %s.\n", CONFIG_DB_CA)        return    }    roots.AppendCertsFromPEM(ca)    tlsConfig := &tls.Config{        Certificates: []tls.Certificate{cer},        RootCAs:      roots,    }    conn, err := tls.Dial("tcp", "customhost:port", tlsConfig)    if err != nil {        fmt.Printf("failed to connect: %v.\n", err)        return    }    err = conn.VerifyHostname("customhost")    if err != nil {        panic("Hostname doesn't match with certificate: " + err.Error())    }    for i, cert := range conn.ConnectionState().PeerCertificates {        prefix := fmt.Sprintf("CERT%d::", i+1)        fmt.Printf("%sIssuer: %s\n", prefix, cert.Issuer)        fmt.Printf("%sExpiry: %v\n", prefix, cert.NotAfter.Format(time.RFC850))        fmt.Printf("%sDNSNames: %v\n\n", prefix, cert.DNSNames)    }        fmt.Printf("Success!")}我有點卡住了,不知道問題是我的tls代碼配置和我加載證書的方式,還是來自SSL證書配置錯誤,但來自什么證書看起來很好。我覺得加載的證書因任何原因都被忽略了
查看完整描述

1 回答

?
慕容3067478

TA貢獻1773條經驗 獲得超3個贊

您需要在源頭解決問題并生成帶有字段的證書 - 然后運行時檢查將消失。DNSSANGo


這是可以實現的,但很棘手,因為它需要一個配置文件 - 因為SAN字段選項太寬泛,不適合簡單的命令行選項。openssl


一般的要點是,創建一個企業社會責任:


openssl req -new \

    -subj "${SUBJ_PREFIX}/CN=${DNS}/emailAddress=${EMAIL}" \

            -key "${KEY}" \

    -addext "subjectAltName = DNS:${DNS}" \

    -out "${CSR}"

,然后用您的 :CSRroot CA


openssl ca \

        -create_serial \

                -cert "${ROOT_CRT}" \

        -keyfile "${ROOT_KEY}" \

                -days "${CERT_LIFETIME}" \

                -in "${CSR}" \

        -batch \

        -config "${CA_CONF}" \

                -out "${CRT}"

CA_CONF上面引用的內容如下所示:


[ ca ]

default_ca      = my_ca


[ my_ca ]

dir             = ./db

database            = $dir/index.txt

serial              = $dir/serial

new_certs_dir   = $dir/tmp

x509_extensions = my_cert

name_opt            = ca_default

cert_opt            = ca_default

default_md          = default

policy              = policy_match

# 'copy_extensions' will copy over SAN ("X509v3 Subject Alternative Name") from CSR

copy_extensions = copy


[ my_cert ]

basicConstraints        = CA:FALSE

nsComment               = "generated by https://github.com/me/my-pki"

subjectKeyIdentifier    = hash

authorityKeyIdentifier  = keyid,issuer


[ policy_match ]

# ensure CSR fields match that of delivered Cert

countryName             = match

stateOrProvinceName     = match

organizationName        = match

organizationalUnitName  = optional

commonName              = supplied

emailAddress            = optional

正在檢查生成的服務器證書:


openssl x509 -in server.crt -noout -text

然后應該有一個部分,如:SAN


X509v3 Subject Alternative Name: 

    DNS:myserver.com


查看完整回答
反對 回復 2022-09-12
  • 1 回答
  • 0 關注
  • 482 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號