derfirebird
Cadet
- Joined
- Jan 2, 2024
- Messages
- 2
Hallo zusammen,
ich konnte zu meinem Problem leider bisher nichts finden, ich weiß nicht, ob es ein Bug ist oder ich das ganze einfach Falsch benutze.
Vorgeschichte: Ich wollte für mehrere TrueNAS13 Systeme selbst signierte SSL-Zertifikate erstellen und dachte, dass ich nur auf einem System eine CA einrichten muss und dann von dort aus auch Zertifikate für die anderen Systeme ausstellen kann. So muss ich nur das eine CA-Zertifikat auf den Clients importieren.
Das Problem: Das intern generierte Zertifikat auf dem System mit der CA funktioniert, bei den importierten CSR ist nach der Signierung im SubjectAltName ein doppeltes "DNS:"
Was habe ich getan: (Testweise nochmal nachgestellt und gescreenshottet)
Auf "System1" eine CA erstellt und für das System selbst ein Zertifikat erstellt. Soweit problemlos. ("test2_internal")
Auf "System2" habe ich ein CSR erstellt:
Auf System1 unter Zertifikate -> hinzufügen mit dem CSR-Import den SigningRequest und den PrivateKey hinzugefügt
Dann auf System1 unter CAs -> SignCSR das Importierte CSR signiert
und hier tritt eigentlich schon das Problem auf:
Der SubjectAltName ist im CSR schon mit "DNS:FQDN" eingetragen, wird der CSR dann signiert, schummelt sich ein weiteres "DNS:" hinzu.
Der Browser meckert dann natürlich, dass der Name im Zertifikat "DNS:test@..." (statt "test@...") nicht mit der Adresse übereinstimmt.
Denke, dass es irgendwie ein Bug ist, ich kenne mich nur nicht so weit mit den genutzten Mechanismen dahinter aus, dass ich nicht weiß ob der Fehler jetzt schon im CSR liegt oder beim Signieren passiert. Das mit dem (einfachen) DNS:FQDN scheint ja grundsätzlich soweit richtig und taucht auch so in dem direkt auf System1 für das System1 (wie bei "test2_internal") erstellte Zertifikat auf.
PS: Ja, mir fällt grad selbst auf, dass das "@" im FQDN nichts zu suchen hat. Die ursprünglichen Zertifikate wurden selbstverständlich mit dem richtigen FQDN generiert, hier wurde es nur nochmal von mir für die Screenshots nachgestellt, keine Ahnung wo in meinen Gedanken das @ mit Mal herkam.
ich konnte zu meinem Problem leider bisher nichts finden, ich weiß nicht, ob es ein Bug ist oder ich das ganze einfach Falsch benutze.
Vorgeschichte: Ich wollte für mehrere TrueNAS13 Systeme selbst signierte SSL-Zertifikate erstellen und dachte, dass ich nur auf einem System eine CA einrichten muss und dann von dort aus auch Zertifikate für die anderen Systeme ausstellen kann. So muss ich nur das eine CA-Zertifikat auf den Clients importieren.
Das Problem: Das intern generierte Zertifikat auf dem System mit der CA funktioniert, bei den importierten CSR ist nach der Signierung im SubjectAltName ein doppeltes "DNS:"
Was habe ich getan: (Testweise nochmal nachgestellt und gescreenshottet)
Auf "System1" eine CA erstellt und für das System selbst ein Zertifikat erstellt. Soweit problemlos. ("test2_internal")
Auf "System2" habe ich ein CSR erstellt:
Auf System1 unter Zertifikate -> hinzufügen mit dem CSR-Import den SigningRequest und den PrivateKey hinzugefügt
Dann auf System1 unter CAs -> SignCSR das Importierte CSR signiert
und hier tritt eigentlich schon das Problem auf:
Der SubjectAltName ist im CSR schon mit "DNS:FQDN" eingetragen, wird der CSR dann signiert, schummelt sich ein weiteres "DNS:" hinzu.
Der Browser meckert dann natürlich, dass der Name im Zertifikat "DNS:test@..." (statt "test@...") nicht mit der Adresse übereinstimmt.
Denke, dass es irgendwie ein Bug ist, ich kenne mich nur nicht so weit mit den genutzten Mechanismen dahinter aus, dass ich nicht weiß ob der Fehler jetzt schon im CSR liegt oder beim Signieren passiert. Das mit dem (einfachen) DNS:FQDN scheint ja grundsätzlich soweit richtig und taucht auch so in dem direkt auf System1 für das System1 (wie bei "test2_internal") erstellte Zertifikat auf.
PS: Ja, mir fällt grad selbst auf, dass das "@" im FQDN nichts zu suchen hat. Die ursprünglichen Zertifikate wurden selbstverständlich mit dem richtigen FQDN generiert, hier wurde es nur nochmal von mir für die Screenshots nachgestellt, keine Ahnung wo in meinen Gedanken das @ mit Mal herkam.
