- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在配置一个同时具有公共(public) IP 和私有(private) IP 的服务器。它没有任何关联的域名。
使用自签名证书访问以下 URL 可以正常工作:
https://<PUBLIC IP>:8443
但是,当我尝试使用其私有(private) IP 访问该服务器时:
wget https://<PRIVATE IP>:8443
我收到以下错误:
ERROR: cannot verify 's certificate, issued by '/C=?/ST=?/L=?/O=?/OU=?/CN=Unknown': Self-signed certificate encountered. ERROR: certificate common name 'Unknown' doesn't match requested host name ''. To connect to insecurely, use `--no-check-certificate'.
有没有办法在配置中指定同时接受公共(public) IP 和私有(private) IP?
我还尝试在包含地址属性的 server.xml 中包含多个连接器,但它不起作用。
最佳答案
您可以使用两个主机(公共(public) IP 和私有(private) IP)创建证书,如下所述:
http://apetec.com/support/GenerateSAN-CSR.htm
使用 SubjectAltName 和 openssl 配置 ssl 请求
使用多个域证书,您可以仅使用一个证书来保护大量域。主题备用名称是 X509 版本 3 (RFC 2459) 的扩展,允许 SSL 证书指定证书应匹配的多个名称。 SubjectAltName 可以包含电子邮件地址、IP 地址、常规 DNS 主机名等。这使用称为 SubjectAlternativeName(或简称 SAN)的 SSL 功能。
生成证书请求文件
对于通用 SSL 证书请求 (CSR),openssl 不需要太多操作。由于我们要向 CSR 添加一两个 SAN,因此我们需要向 openssl conf 文件添加一些内容。您需要告诉 openssl 创建一个包含 x509 V3 扩展的 CSR,您还需要告诉 openssl 在您的 CSR 中包含主题替代名称列表。
创建一个启用主题备用名称的 openssl 配置文件 (openssl.cnf):在 [req] 部分。这是告诉 openssl 如何处理证书请求 (CSR) 的部分。该部分中应该有一行以 req_extensions 开头。我们希望它的内容如下:
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
这告诉 openssl 在 CSR 中包含 v3_req 部分。现在我们将自己转到 v3_req 部分并确保它包括以下内容:
[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = US
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = MN
localityName = Locality Name (eg, city)
localityName_default = Minneapolis
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = Domain Control Validated
commonName = Internet Widgits Ltd
commonName_max = 64
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = kb.example.com
DNS.2 = helpdesk.example.org
DNS.3 = systems.example.net
IP.1 = 192.168.1.1
IP.2 = 192.168.69.14
生成私钥您需要确保您的服务器已创建私钥:
openssl genrsa -out san_domain_com.key 2048
创建 CSR 文件
然后使用以下方法生成 CSR:
openssl req -new -out san_domain_com.csr -key san_domain_com.key -config openssl.cnf
系统将提示您提供有关您的组织的信息,并询问您是否要包含密码(您不需要)。然后它将在没有太多反馈的情况下结束。但是可以看到已经创建了san_domain_com.csr。
我们可以使用以下命令查看 csr 包含的内容:
openssl req -text -noout -in san_domain_com.csr
您应该会看到如下所示的输出。注意主题备用名称部分:
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, ST=Texas, L=Fort Worth, O=My Company, OU=My Department, CN=server.example
Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit)
Modulus (2048 bit): blahblahblah
Exponent: 65537 (0x10001)
Attributes:
Requested Extensions: X509v3
Basic Constraints: CA:FALSE
X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name: DNS:kb.example.com, DNS:helpdesk.example.com
Signature Algorithm: sha1WithRSAEncryption
blahblahblah
现在我们有了一个新的 CSR。但是,当然,我们必须签署它。
自签名并创建证书:
openssl x509 -req -days 3650 -in san_domain_com.csr -signkey san_domain_com.key
-out san_domain_com.crt-extensions v3_req -extfile openssl.cnf
关于tomcat - 公共(public)和私有(private) IP 的自签名证书 (Tomcat 7),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33494750/
这个问题在这里已经有了答案: 关闭 10 年前。 Possible Duplicate: When should [assembly: InternalsVisibleTo()] be used?
问题与微服务有关,当我有多个微服务提供将被订购和计费的功能/服务时。 我正在确定采用哪种方法, a) 每个可计费微服务有一个订单和一个计费服务,有各自的数据库。b) 跨所有微服务的通用订单管理和计费服
我正在尝试使用 gcloud图书馆。 (ns firengine.state (:import [com.google.cloud AuthCredentials] [com.goog
Java 允许定义以下一对类。 class Class1 { ... } public Class2 { public Class2(Class1 c1) { ... } } 如果因为 Class1
我正在尝试查找文件 1 和文件 2 中的共同行。如果公共(public)行存在,我想写入文件 2 中的行,否则打印文件 1 中的非公共(public)行。fin1 和 fin2 是这里的文件句柄。它读
好吧,这是一个满口的标题。不过,这让我明白了。这是我的代码的要点,在 jar 里: public class NetworkShared { public static class Login
我在使用 ltree 时遇到 PHP 问题来自 PostgreSQL .我在 SQL 中这样做: SELECT * FROM tabla t WHERE t.parent_path " for "OP
我知道如何为类/接口(interface)/包的子集生成 Javadoc。但是有没有办法只为公共(public)方法的一个子集生成 Javadoc? 我更喜欢能够将方法(Javadoc 标记或注释)标
这个问题在这里已经有了答案: 关闭 12 年前。 Possible Duplicates: c#: why have empty get set properties instead of usin
在我们的每个项目中,都有一个文件用于存储该项目中使用的各种SQL 语句。类的声明方式和字符串的声明方式有一些变化。 示例类声明: internal sealed class ClassName int
我根据 http://docs.jquery.com/Plugins/Authoring 定义了我的插件 (function( $ ){ var methods = { init : fu
我正在使用 Inno Setup 来构建我的安装程序,我有 C:\Users\Public文件夹硬编码在我的 [Files] 中放置一些文件的部分(Inno Setup 没有此文件夹的常量) 我的目标
我有一个 dataframe1 包含像 'ID', 'A', 'B', 'C', 'D', 'E', 'F', 'G' 这样的列. 现在,我创建了两个数据框, dataframe2 包含 'ID',
我有一个抽象类,不幸的是我无法更改它的定义,它基本上提供了一个抽象方法,有点像。 public abstract void do(Data someData, BaseInterface interf
我刚刚在重构时偶然发现了一段奇怪的代码。它看起来像是分解出两个 readString() 方法的共同部分的候选者,只是它似乎是不可能的(这对我来说是一个令人毛骨悚然的脑筋急转弯): private f
是否有解析为公用文件夹的属性?显然,我不想在目录结构中对“c:\users\public”进行硬编码,但我找不到预定义的 Property解决这个问题。是否有一种可接受的方式来指定要在此处安装和/或在
我试图将值从一个类传递到另一个类。 subPanel1 类读取全局变量,但当我通过调整监听器更新这些变量时,它不会更改值。我试图将 rc、gc 和 bc 变量从 subPanel2 类传递到 subP
我想使用具有自动属性的干净且编码较少的类。所有属性(property)都是公共(public)的。在同一类的方法中我也使用了该属性。因此,我认为这种方法是可混搭的,因为我将公共(public)属性用于
不久前,我在 Android 应用程序中创建了一个 SQLiteHelper 类。我不是 100% 确定原因,但表名和列名是嵌套公共(public)静态抽象类中的公共(public)静态最终字段。我记
这个问题已经有答案了: Cannot make a static reference to the non-static method (8 个回答) 已关闭 3 年前。 我正在为类(class)做一
我是一名优秀的程序员,十分优秀!