V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cathedrel
V2EX  ›  SSL

自签 CA 证书和服务器 IP 证书有什么要注意的?

  •  
  •   cathedrel · 2021-09-19 10:53:10 +08:00 · 1650 次点击
    这是一个创建于 922 天前的主题,其中的信息可能已经有所发展或是发生改变。

    尝试着自签了一个 CA 和一个服务器证书,因为是要放到好几台小鸡上的,我就这样签的:

    authorityKeyIdentifier = keyid,issuer

    basicConstraints = CA:FALSE

    keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, cRLSign, keyCertSign

    subjectAltName = @alt_names

    [alt_names]

    IP.1 = 1.2.3.4

    IP.2 = 2.2.2.2

    IP.3 = 3.3.3.3

    IP.4 = 4.4.4.4

    IP.5 = 5.5.5.5

    DNS.1 = aaa.com

    DNS.2 = ×.aaa.com

    自签的证书在我的 TLS 隧道上可以用,感觉还比之前通过可信 CA 签发的域名证书去连接的还快一点点。但是网页就不行,打开就显示 ERR_CONNECTION_REFUSED

    有哪些地方该检查的?

    5 条回复    2021-10-01 10:54:47 +08:00
    ryd994
        1
    ryd994  
       2021-09-19 11:07:51 +08:00 via Android   ❤️ 1
    connection refused 是 443 端口没开。检查你的服务器软件配置。
    如果是证书问题的话应该是 ssl handshake failure
    cathedrel
        2
    cathedrel  
    OP
       2021-09-19 12:29:01 +08:00 via Android
    @ryd994 不是 443 端口,是 webmin 的默认 10000 号端口,又是内网机器,通过端口映射访问的,加载 ssl 证书就不行,修改 /etc/webmin/config 把“ssl=1”的 1 删除再重启 webmin 就又能 http 访问了……
    iBugOne
        3
    iBugOne  
       2021-09-19 12:54:33 +08:00 via Android
    你看看服务器软件的 log 有没有吐槽证书有问题,我有一次 nginx 挂了就是证书签得不对
    cathedrel
        4
    cathedrel  
    OP
       2021-09-20 00:17:15 +08:00
    @iBugOne 后来发现是哪里不对的?
    BitCert
        5
    BitCert  
       2021-10-01 10:54:47 +08:00
    可以申请公网的 IP 证书
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5282 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 09:11 · PVG 17:11 · LAX 02:11 · JFK 05:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.