pridani CN do SSL certifikatu

Jako že by sis do certifikátu s CN=pepan.cz jen tak přidal CN=google.com? Nový.

24.8.2012 08:28 pepan
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

Dalo by se to tak rict :) Jen ten google.com by byl pepan.net. Pri vytvareni noveho certifikatu to preci problem neni.

24.8.2012 09:58 MMichal | skóre: 21
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

A ted si predstavte, ze by jste se pripojil k verejne WiFi siti a chtel se prihlasit na svuj portal pepan.cz. A spravce te verejne site majici svuj certifikat s CN nejcracker.cz podepsany nejakou velkou certifikacni autoritou (ktere Vas prohlizec automaticky duveruje) by si tam pridal jako dalsi CN pepan.cz a tento svuj certifikat Vam podstrcil a mohl tedy desifrovat celou komunikaci a odchytit Vase heslo. Opravdu chcete, aby to tak slo ?

Udaje, ktere obsahuje certifikat, jsou podepsany certifikacni autoritou a certifikat menit nelze (pominu-li teoretickou moznost nalezeni kolize v hashovaci funkci). Pokud potrebujete zmenu, je treba nechat podepsat novy (lisici se napriklad pouze a jen tim CN).

24.8.2012 12:35 pepan
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

No ano. Mam svoji CA (ktere ja duveruji:) a pomoci teto CA bych chtel pridat CN do certifikatu ktery byl u teto CA overeny. Kdyz si ho sam vytvorim, tak jsem myslel/doufal, ze si ho muzu i sam zmenit.

24.8.2012 12:49 homunkulus
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

Nechapu, co je vam nejasne. Vytvorte novy certifikat a je to.

24.8.2012 13:49 pepan
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

dobre, ted jsem se ale zarazil na tom, jak pridat dalsi cn. vytvarim takto:


openssl req -new -nodes -out requests/server.req -keyout private/server.key -days 3650

openssl ca -in requests/server.req -out certs/server.crt -days 3650

24.8.2012 13:56 pepan
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

zeditoval jsem /etc/ssl pridanim dalsich CN, pri generovani jsem vsechny vyplnil, ale nakonec v certifikatu je jen ten posledni nazev

http://rrr.thetruth.de/2008/04/openssl-certificates-with-multiple-domains-common-names/

24.8.2012 14:00 rastos | skóre: 63 | blog: rastos
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

dobre, ted jsem se ale zarazil na tom, jak pridat dalsi cn. vytvarim takto:
openssl req -new -nodes -out requests/server.req -keyout private/server.key -days 3650

Počas tohto kroku dostaneš otázku na "Common Name", nie je tak?

24.8.2012 14:08 pepan
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

Ano, puvodne 1x, po uprave /openssl.cnf 2x. Nicmene v certifikatu pak vidim jen to posledne zadane Common Name.

24.8.2012 14:24 pepan
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

openssl.cnf

0.commonName = Common Name 1 (eg, YOUR name) 
0.commonName_max = 64 
1.commonName = Common Name 2 (eg, YOUR name) 
1.commonName_max =64

24.8.2012 14:22 Pindal
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

No to už je lepší. Zkuste při req specifikovat subjekt na řádku ve stylu -subj "/CN=A/CN=B/O=Linux/C=CZ", ale stejně doporučuju použít subjectAltName.

24.8.2012 14:28 pepan
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

jestli altnames budou plnit ten ucel, aby mi nevyskakovala chyba, ze nazev certifikatu neodpovida nazvu serveru, tak s tim problem nemam.. co openssl.cnf jsem doplnil

[ alt_names ]
DNS.1                                    = *.pepan.net
DNS.2                                    = pepan.net¨
DNS.3                                    = pepan.cz

Ale nevim, jestli je to spravne a jestli se to do certifikatu spravne zapsalo, protoze mi s timto certifikatem web nejede a pise to unknown err :)

24.8.2012 14:53 Pindal
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

Jestli se to zapsalo správně se podíváš přes openssl req/x509 -text -in server.req, každopádně je to závislé na tvém openssl.cnf. Jedno commonName a více subjectAltName je nicméně nejvíc použitelné pokuď nemůžeš/nechceš použít SNI. Viz třeba tady.

26.8.2012 18:20 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

No jo, jenze tenhle seznam musis pridat do nejake sekce v openssl.cnf:
[ certifikat_s_alt_names ]
...
subjectAltName = @alt_names
A tu sekci pak pouzit pri podpisu certifikatu:
openssl ca .. -extensions certifikat_s_alt_names

24.8.2012 10:32 Pindal
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

Problém to opravdu není:

openssl x509 -in cert.pem -text -noout > new-cert.crt

Následně libovolným editorem otevřeš new-cert.crt a změníš "Subject:" nebo klidně i jiné údaje. Zvláštní pozornost je nutné jen věnovat té řadě čísel pod "Signature Algorithm:", to dá málokdo z hlavy, takže se podívej jak na to. Tady je ta jednoduší část a zde pak ta mírně složitější. Pak jen uložíš a voilà! máš co jsi chtěl.

PS: Funguje to na libovolný certifikát od libovolné autority, jen se trošku hůř získává to jedno číslo pro tu popisovanou úpravu. Se strojem času to ale opravdu problém není.

24.8.2012 14:43 Petr
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

Ahoj,

Zkusil bych neco podobneho viz:

http://rrr.thetruth.de/2008/04/openssl-certificates-with-multiple-domains-common-names/

24.8.2012 15:02 pepan
Rozbalit Rozbalit vše Re: pridani CN do SSL certifikatu

diky, tam uz jsem byl (viz. vys:)

Dotaz: pridani CN do SSL certifikatu

Odpovědi