pfSense에서 인증서를 생성하려면 다음 웹 UI를 사용합니다.
localhost
여러 도메인(처음에는 및 ) 에서 제공하는 데 적합한 인증서를 생성하려고 합니다 nebula3
.
이것이 올바른 생각입니까?
불행히도 생성된 인증서를 확인하면 openssl
다음이 표시됩니다.
# openssl x509 -noout -subject -in nebula3.crt
subject= /C=RU/ST=Moscow/L=Moscow/O=In The Moon Network/[email protected]/CN=nebula3
CN
즉, 필드가 하나만 표시 되고 SAN
필드는 표시되지 않습니다.
pfSense
이는 확실히 웹 인터페이스에 버그가 있음을 의미합니까 , 아니면 다른 곳을 찾아야 합니까?
답변1
pfSense 생성 인증서에 관해서는 최근에 처리해 왔고 VPN 서버의 맥락에서 사용하는 것을 포기했습니다.
기본적으로 VPN 인증서에 서명할 때 다음과 같은 추가 속성을 사용합니다.
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
subjectAltName = DNS:youralternanetname.uk, IP:193.x.x.x, DNS:193.x.x.x
nsCertType = server
extendedKeyUsage = serverAuth, 1.3.6.1.5.5.8.2.2
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
Windows 클라이언트는 인증서에서 VPN 서버의 IP 주소를 확인해야 하는 것으로 보입니다.
또한 openssl 명령줄 CSR 요청에 옵션을 추가해야 합니다. 그렇지 않으면 존재하지 않을 수 있으므로 -extensions v3_req
표시되지 않습니다 .-noout
pfSense에 인증서를 로드하는 경우 다음을 수행합니다.
시스템->인증서. 관리자->인증서->+추가->기존 인증서 가져오기. 실제 인증서에는 전체 X.509 인증서 체인이 포함되어야 합니다.