Должно ли отображаться альтернативное имя, отображаемое утилитой openssl?

Я использую следующий web-ui для создания сертификатов в pfSense:

введите описание изображения здесь

Я думал создать сертификат, подходящий для обслуживания из нескольких доменов, предварительно с localhost и nebula3 .

Это была правильная идея?

К сожалению, когда я проверяю сгенерированный сертификат с помощью openssl я вижу следующее

 # openssl x509 -noout -subject -in nebula3.crt subject= /C=RU/ST=Moscow/L=Moscow/O=In The Moon Network/emailAddress=dims12@mail.ru/CN=nebula3 

т.е. я вижу только одно поле CN и никаких полей SAN .

Это определенно означает, что у pfSense есть ошибка в веб-интерфейсе, или я должен смотреть где-то еще?

  • Расширение размера диска на pfsense под VMWare ESXi
  • PfSense VPN L2TP бежит с клиентами Windows
  • У меня есть мост брандмауэра в pfSense, и я хочу зарегистрировать только разрешенный пакет
  • Настройка физической / виртуальной сети
  • Как изменить размер md-устройства во FreeBSD?
  • Узнайте, к чему относится / dev / cuaU?
  • Как настроить сервер OpenVPN на pfsense
  • Как измерить сетевой трафик (с помощью pfSense / freeBSD)?
  • One Solution collect form web for “Должно ли отображаться альтернативное имя, отображаемое утилитой openssl?”

    Что касается сертификатов, созданных pfSense, я недавно общался с ними и отказался от их использования в контексте VPN-сервера.

    В основном при подписании сертификатов VPN я использую дополнительные атрибуты:

     [ v3_req ] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment, dataEncipherment subjectAltName = DNS:youralternanetname.uk, IP:193.xxx, DNS:193.xxx nsCertType = server extendedKeyUsage = serverAuth, 1.3.6.1.5.5.8.2.2 keyUsage = digitalSignature, keyEncipherment, dataEncipherment 

    Кажется, клиентам Windows необходимо увидеть IP-адрес вашего VPN-сервера в сертификате.

    Вам также нужно добавить в командную строку openssl CSR запрос опции: -extensions v3_req или иначе она не появится в -noout потому что, вероятно, ее нет.

    Что касается загрузки моих сертификатов в pfSense, я делаю:

    Система-> Cert. Менеджер-> Сертификаты -> + Добавить-> Важный существующий сертификат. Остерегайтесь фактического сертификата, который должен содержать целую цепочку сертификатов X.509.

    Linux и Unix - лучшая ОС в мире.