Должно ли отображаться альтернативное имя, отображаемое утилитой openssl?

Я использую следующий web-ui для создания сертификатов в pfSense:

введите описание изображения здесь

Я думал создать сертификат, подходящий для обслуживания из нескольких доменов, предварительно с localhost и nebula3 .

Это была правильная идея?

К сожалению, когда я проверяю сгенерированный сертификат с помощью openssl я вижу следующее

 # openssl x509 -noout -subject -in nebula3.crt subject= /C=RU/ST=Moscow/L=Moscow/O=In The Moon Network/emailAddress=dims12@mail.ru/CN=nebula3 

т.е. я вижу только одно поле CN и никаких полей SAN .

Это определенно означает, что у pfSense есть ошибка в веб-интерфейсе, или я должен смотреть где-то еще?

  • Возможно ли реализовать IPSec с откатом между одним брандмауэром pfSense и VPC Amazon (без BGP)
  • Не удается связаться с локальным DNS-сервером для подзонов локального домена, поскольку брандмауэр возвращает IP-адрес шлюза
  • pfSense с сетевыми картами Mellanox ConnectX-2 10GBit
  • Расширение размера диска на pfsense под VMWare ESXi
  • Как исправить перекрывающийся раздел FreeBSD / UFS?
  • Ошибка корневого монтирования pfsense после клонирования диска
  • Установите man на FreeBSD 10.1 на основе pfsense 2.2
  • Правило PF, которое может соответствовать интерфейсам INPUT и OUTPUT
  • One Solution collect form web for “Должно ли отображаться альтернативное имя, отображаемое утилитой openssl?”

    Что касается сертификатов, созданных pfSense, я недавно общался с ними и отказался от их использования в контексте VPN-сервера.

    В основном при подписании сертификатов VPN я использую дополнительные атрибуты:

     [ v3_req ] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment, dataEncipherment subjectAltName = DNS:youralternanetname.uk, IP:193.xxx, DNS:193.xxx nsCertType = server extendedKeyUsage = serverAuth, 1.3.6.1.5.5.8.2.2 keyUsage = digitalSignature, keyEncipherment, dataEncipherment 

    Кажется, клиентам Windows необходимо увидеть IP-адрес вашего VPN-сервера в сертификате.

    Вам также нужно добавить в командную строку openssl CSR запрос опции: -extensions v3_req или иначе она не появится в -noout потому что, вероятно, ее нет.

    Что касается загрузки моих сертификатов в pfSense, я делаю:

    Система-> Cert. Менеджер-> Сертификаты -> + Добавить-> Важный существующий сертификат. Остерегайтесь фактического сертификата, который должен содержать целую цепочку сертификатов X.509.

    Linux и Unix - лучшая ОС в мире.