问题标签 [subject-alternative-name]

我正在尝试访问我的 java Web 应用程序中的安全地址。该应用程序使用 java7 在 tomcat7 上运行，我使用以下命令启动了 tomcat：

我的信任库包含一些用于不同站点的受信任证书，并且它们都可以正常工作，除了其中一个证书中的站点地址被定义为 SAN（主题备用名称）扩展字段。例如证书颁发给my-site1.com它，它有一个 SAN 字段my-site2.com，我需要my-site2.com在我的 JavaEE 应用程序中访问。这是我得到的例外：

有什么建议吗？

我有一个 SubjectAltName 设置为的证书（使用 openssl 应用程序）：

我想读取已构建以下代码的字段 RegisteredID（例如）：

后来我用它

但是当我调试它时，我只能在里面看到current_name：

我的问题是我做错了什么？我的代码是否正常，但证书创建出错或相反（或两者兼而有之）

我有一些字符串，用逗号分隔。我必须为主题备用名称扩展添加与任何 GeneralName 匹配的所有扩展。有人可以为我完成 for 循环吗？

该功能的其余部分正在工作。

我在 Java 中使用 BouncyCastle。altSubName是一个数组，由一些字符串组成。并且应该以某种方式检查这些字符串它们是哪个 SubjectAlternativeName，并且应该添加包含所有通用名称的扩展。

我目前能够解码 CSR 的值，但请求的扩展除外，特别是X509v3 Subject Alternative Name. 这是我的 `DecodeCSR(string csr) 的相关部分：

这是一个带有 SAN 的测试 csr：

我可以从中获得的信息decodeCsr.GetCertificationRequestInfo().Attributes是Org.BouncyCastle.Asn1.DerSet这样的：

这是它在调试模式下的样子（整体对象的图片如下）：

我可以看到DerOctetString调试模式，但是我不知道如何到达它。我相信如果我能做到那么远，雨果的答案可能适用，DerOctetStringParser但目前我没有什么可以给出的。

我试图将attsOID 视为一个字符串，删除 OID 获得的值与DerOctetString调试模式中的值完全相同，并将其转换为无效的DerOctetString，我不相信答案可以很好地扩展。

如果我使用 OpenSSL 创建使用 CA 证书签名并包含 X509v3 SAN（主题备用名称）扩展的 X509 证书，则生成的证书包含两次 SAN 扩展，而如果证书是自签名的，则仅显示 SAN 扩展一次（我认为这是正确的）。

重现步骤：

之后，如果我检查证书，“X509v3 主题备用名称”部分将打印两次：

如果没有使用 CA 并且证书通过以下方式进行自签名，则情况并非如此：

我可以用 和 验证这种OpenSSL 1.0.2n行为OpenSSL 0.9.8zh。

这是一个 OpenSSL 错误还是对此有任何有效的解释？

我正在尝试使用 powershell 创建 SAN ssl 证书，但出现此错误（请单击下面的链接以查看我在 powershell 中键入的内容）：

术语“New-SelfSignedCertificate”未被识别为 cmdlet、函数、脚本文件或可运行程序的名称。

有谁知道如何解决这个问题？

这是我的PowerShell版本：

我有一个配置脚本，用于为我的 CSR 提供​​默认值，显然只是指定我想要使用的 FQDN。一般来说，名字会像www.example.com.

但是，对于我的大多数域，我也想要 SAN example.com（即 no www）。目前我正在手动编辑我的配置文件以将最后一行更改为相关域：

但我想知道这是否可以以某种方式留空，然后脚本提示在运行时询问 alt_name(s)？我运行类似：

任何指针表示赞赏。

谢谢。

我需要在证书中指定注册 ID。

因此，当使用 OpenSSL 签署证书时，我将其添加到配置文件中。

这里1.2.3.4.5.5是 OID。

我遵循了如何在 Stack Overflow 的 openssl.cnf 文件中格式化 OID Subject Alt Name 条目。

现在，我想在 Go 中生成证书。下面一个是我当前的配置

在此配置中，如何添加 OID 号。

I am trying to connect to a REST endpoint via the GetHTTP Processor in NiFi 1.5.0. The problem that I am faceing is, that the SSL certificate is issued to the domain but I only have direct access to the IP:Port address (company firewall). With that I run into the problem that host name and certificate owners don't match up and the IP is not added as subject alternative name.

When I try to connect, I get this error message:

javax.net.ssl.SSLPeerUnverifiedException: Certificate for <[IP-ADDRESS]> doesn't match any of the subject alternative names: []

Is there a way to bypass the host name verification? I have found this NiFi Jira ticket but it doesn't seem to be addressed yet. Is there a workaround I could use?

以下是一个测试设置，用于检查当lighttpd包含在证书subjectAltNames中时是否会基于 IP 地址进行身份验证，例如

主题AltNames=IP:192.168.1.20

配置：

/var/log/lighttpd/access.log通过原始地址访问时的行192.168.1.20：

浏览器显示 401 未授权。是 SSL 失败还是有其他问题？