Cisco C9300의 CSR에서 웹 서버 인증서를 가져왔습니다. 인증서는 인증 기관에서 왔으며 체인 끝에 올바른 CA가 표시됩니다. CLI는 인증서가 문제 없이 올바르게 설치되었음을 보여줍니다. 문제는 스위치에 대한 보안 웹사이트(https://)로 이동했지만 연결이 안전하지 않다는 메시지가 표시되는 것입니다. 브라우저에서 인증서를 확인하면 CA에서 받은 인증서가 표시됩니다. 인증서가 유효함에도 불구하고 안전하지 않은 것으로 표시되는 이유는 무엇입니까?
해당 페이지에 가면 이렇게 나와요NET::ERR_CERT_COMMON_NAME_INVALID
업데이트 1: @Zac67님 덕분에 Trustpoint 정보를 확인하고 있습니다. 웹 페이지의 스위치에 액세스할 때 https://ipaddress를 사용합니다. 다음을 만들 수 있습니다.
subject-name C=US, ST=Pennsylvania, L=My-Town, O=My-Org, OU=My-Department, CN=SWITCHNAME.DOMAIN.NET
하지만 그렇게 하면 subject-alt-name 192.168.1.10다음과 같은 오류가 발생합니다.
CRYPTO_PKI: Label cannot be made only of digits. Also, ip addresses are not permitted
CN에 주소를 입력해 보았지만 역시 작동하지 않았습니다. 아직도 인증서가 유효하지 않다고 나옵니다.
업데이트 2:나는 How-To를 사용하고 있습니다.여기:RSA 키를 생성합니다. 해당 키를 사용하여 CA를 신뢰 지점으로 사용하고 있습니다. WebServer 인증서를 위해 Microsoft CA에 제공할 지문을 받습니다. CA에서 WebServer 인증서를 받아 동일한 사용법 지침을 사용하여 스위치로 가져옵니다. 그런 다음 웹페이지에 접속했는데 해당 웹페이지가 유효하지 않다고 나옵니다. 인증서는 내 도메인의 CA에서 제공됩니다. 나는 그것이 어떻게 유효하지 않다고 생각하는지 알 수 없습니다.
업데이트 3:그래서 저는 SAN에 대한 RICK의 제안을 살펴보고 있습니다. 우리는 허용되지 않는 OpenSSL을 사용하지 않는다는 점을 설명하겠습니다. 네트워크 CA를 사용해야 합니다. CN의 경우 CN을 인증서의 IP 주소로 설정했습니다. SAN Cisco의 경우 ip-address주소를 추가하는 별도의 명령이 있으며 거기에는 subject-name-alternative허용되지 않으므로 해당 명령에 IP 주소를 추가할 수 없는 다른 명령이 있습니다. 그래서 내가 찾은 것은 다음과 같습니다.
CN은 다음과 같습니다.
- IP 주소
- 호스트 이름
- FQDN
SAN(주체 이름-대체는 다음과 같을 수 있습니다.
- 호스트 이름
- FQDN
IP 주소 추가 가능 여부
이러한 모든 사항을 혼합하여 시도했지만 여전히 NET::ERR_CERT_COMMON_NAME_INVALID 오류와 함께 인증서가 EDGE에서 유효하지 않다고 표시됩니다. Edge의 인증서를 보면 동일한 지문으로 자체적으로 열면 동일한 인증서가 표시됩니다.
그렇다면 Edge를 사용하여 IP 주소에서 액세스할 때 CN은 무엇이어야 합니까?
업데이트 4또한 CSR을 만들기 위해 다음을 수행할 때 IP 주소 줄을 추가합니다. 하지만 인증서를 보면 IP 주소가 SAN에 추가된 것 같지 않습니다.실제로 인증서에는 SAN이 전혀 없습니다!번역에서 뭔가가 빠진 것 같습니다.
crypto pki trustpoint my-trustpoint
enrollment terminal pem
subject-name C=US, ST=Pennsylvania, L=My-Town, O=My-Org, OU=My-Department, CN=My-Switch.my-network.com
subject-alt-name my-switch.my-network.com
serial-number none
ip-address 192.168.1.51
revocation-check none
rsakeypair my-4096rsa-key
end
IP 주소를 SAN에 포함하지 않는 이유를 아시나요?
답변1
Ricky의 의견을 자세히 설명하자면 다음과 같습니다.https:// ~ 해야 하다인증서의 주체 이름(SN) 또는 주체 대체 이름(SAN) 중 하나와 일치합니다. 베어 IP 주소를 사용하는 경우 SAN으로 존재해야 합니다. 약간의 불일치라도 인증서 오류가 발생합니다.
또한 자체 CA를 사용하는 경우 루트 CA 인증서가 클라이언트의 신뢰 저장소에 있는지 확인하십시오.
답변2
사용 중인 Cisco IOS 버전이 IP 기반 SAN(주체 대체 이름) 정의를 허용하지 않는 경우 openssl과 같은 다른 도구를 통해 CSR을 생성하여 IP를 포함시킨 다음 CA로 CSR에 서명해야 합니다.
openssl을 사용하면 openssl.cnf구성 파일을 사용하고 SAN을 포함하는 섹션을 추가합니다(CLI를 통해서도 수행할 수 있지만 좀 더 복잡해집니다).
구성 파일을 사용하려면 [req]섹션에 다음과 같은 매개변수가 포함되어야 합니다 req_extensions.
req_extensions = req_ext
제공하는 값은 사용하려는 확장을 정의하는 이후 섹션의 "컨텍스트"입니다. 값을 사용하면 req_ext나머지 구성은 다음과 같습니다.
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
IP.1 = 192.168.1.10
- 생성된 인증서 서명 요청(CSR)에 다음 항목이 포함되어 있는지 확인하려면 다음을 사용하세요.
openssl req -noout -text -in switch.csr
다음을 확인하세요.X509v3 주체 대체 이름부분. 내부에는 CSR을 생성할 때 IP:정의한 내용이 포함된 항목이 있어야 합니다 . openssl.cnf인증서가 보호할 것으로 예상하는 IP 주소가 CSR의 SAN 항목 내에 나열되지 않은 경우 문제가 발생한 경우 필드가 누락된 CSR에서 생성된 인증서는 IP를 제대로 보호하지 않기 때문에 언급한 오류를 관찰하게 됩니다.
예상되는 IP 항목이 표시되면 인증서 서명 및 생성을 위해 CSR을 CA에 전달합니다.
- CA 서명 인증서에 최근 openssl 항목이 포함되어 있는지 확인하려면 다음을 사용할 수 있습니다.
openssl x509 -noout -ext subjectAltName -in switch.pem
- CA 서명 인증서에 이전 버전의 openssl(확장 플래그 누락
-ext) 항목이 포함되어 있는지 확인하려면 다음을 사용할 수 있습니다.
openssl x509 -noout -text -in switch.pem
위의 방법 중 하나를 사용하면 설치 전에 서명된 인증서를 조사할 수 있습니다. 을 체크 해봐주체 대체 이름섹션 값. 이것이 올바른 것으로 보이면 계속해서 스위치에 새 인증서를 설치하십시오.
또는 브라우저를 통해 이미 설치된 인증서에 대한 SAN 필드를 조사할 수도 있습니다. 브라우저 소프트웨어 및 버전에 따라 정보의 레이아웃이 다를 수 있습니다.
예를 들어 다음은 브라우저에서 HTTPS/잠금(사이트 정보 보기)을 클릭해야 하는 Chrome입니다.연결은 안전합니다그런 다음 클릭인증서가 유효합니다, 귀하의 스위치는 물론 유효하지 않다고 말할 것이므로 클릭하십시오.인증서가 유효하지 않습니다..
Firefox에서 인증서를 검토하는 경우 브라우저의 HTTPS/잠금도 클릭하세요.연결 보안(물론 사실일 경우) 그러면추가 정보
