지난 이틀 동안 저는 우리 서버의 SSL 인증서 문제를 해결하려고 노력했습니다.
우리에게는 두 개의 서버 A와 B가 있습니다. A를 B에 연결할 수 있었지만 B는 SSL 인증서를 변경했습니다. 그들은 이 키를 공유했고 우리는 그것을 가져왔지만 BI를 연결하려고 하면
$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443
verify error:num=10:certificate has expired
notAfter=Sep 17 12:00:00 2021 GMT
그래서 이것은 아직 오래되었습니다. 그런 다음 새 .crt 파일을 가져올 수 없는지, 이전 파일인지 이해하려고 노력합니다.
$ openssl x509 -in B.crt -noout -dates
notBefore=Aug 4 00:00:00 2021 GMT
notAfter=Aug 4 23:59:59 2022 GMT
아니요, 보시다시피 인증서는 새롭고 유효합니다. 그래서 이를 이용해 B와의 연결을 테스트해 보았습니다.
$ openssl s_client -connect B:443 -CAfile B.crt
하지만 그래도 돌아온다
verify error:num=10:certificate has expired
notAfter=Sep 17 12:00:00 2021 GMT
이제 어떻게 해야 하나요?
답변1
$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443 verify error:num=10:certificate has expired notAfter=Sep 17 12:00:00 2021 GMT
그래서 B는 만료된 인증서를 보냅니다. 의견에 따르면 SNI를 사용하여 이름 B에 대한 인증서를 요청할 때 유효한 인증서를 보냅니다.
해결책은 B가 테스트하고 구현한 SNI를 사용하는 것입니다.