Chrome Kompatibles Certifikat in TrueNAS erstellen

joachimarp

Dabbler
Joined
Feb 3, 2021
Messages
15
Betreibe mein NAS seit einiger Zeit im lokalen Netzwerk (daran soll sich auch nichts ändern). Mich hat jetzt gestört das immer die Medlung kommt, die Seite ist nicht sicher, wenn ich das Webinterface aufrufe. Also in TrueNAS eine CA erstellt, exportiert und im Zertifikatsspeicher unter vertrauenswürdige Stammzerfizierungsstellen gespeichert. In TrueNAS ein entsprechendes Zertifikat erstellt und zugewiesen. Rufe ich das Webinterface jetzt neue auf(nach Browser - Neustart) erhalte ich immer noch den Fehler mit der nicht sicheren Verbindung.
Nach vielem hin und her mal den Firefox aufgemacht, in den Zertifikatsserver das CA Certifikat importiert, Browaser neu gestartet, zack alles gut, Firefox sagt sicher Verbindung. Also liegt das Problem scheinbar bei Google und nach einigem Suchen bin ich auf das Thema SAN gestossen. Aber scheinbar mache ich da irgendwo noch einen Fehler. Ich kann ja im TrueNAS SAN angeben. Bin mir aber nicht im Klaren darüber, was da nun genau stehen sollte. Kann mir da jemand einen Tipp geben, wie ich das korrekt einstellen kann?
 

mrkl

Cadet
Joined
Feb 14, 2014
Messages
9
hier als Beispiel das www.truenas.com Zertifikat:

1633471036411.png
1633471090623.png


CN = common name = Antragsteller
  • 1 Eintrag
SAN = subject alternative name = Alternativer Antragstellername
  • mehrere Einträge möglich


Seit längerem verlangt Google Chrome das der "Subject Alternative Name" vorhanden ist, früher reichte der "Common Name" aus.
Im SAN können mehere Hostnamen und auch IP-Adressen stehen.
Am gängisten ist zum Beispiel:
  • mit und ohne "www." vor einer Domäne für Websites
  • Mail-Server (oder vorgeschaltete Gateway)
    • smtp.example.com
    • mail.example.com
    • pop.example.com
    • webmail.com

Im SAN würde ich folgende Werte einschreiben:
  1. FQDN [SERVERNAME.example.com]
  2. Hostname [SERVERNAME]
  3. IP-Adresse[n] [192.168.1.100]
  4. interne Domäne [SERVERNAME.local]
  5. Wert von CN
Im CN würde ich den FQDN oder Hostnamen reinschreiben:
  • FQDN: wenn Zertifikat von (interner) CA ist
  • Hostname: wenn Zertifikat selbstsigniert ist
 

joachimarp

Dabbler
Joined
Feb 3, 2021
Messages
15
Danke Dir, ich setzt mich da noch mal ran. Es ist zwar innerhlab des eigenen Netzwerks nicht entscheiden ob sicher oder nicht sicher, aber ich würde das gerne ändern um auch zu wissen wie das funktioniert.
 
Top