无法验证< IP -address>的证书,因为它不包含任何IP SAN
无法验证< IP -address>的证书,因为它不包含任何IP SAN
提问于 2019-02-11 09:28:17
我正在开发一个GitLab CI管道,它将部署我的docker堆栈。我正在尝试将$DOCKER_HOST设置为tcp://DROPLET_IP:2377,但我收到一个错误,指出我的证书不包含任何IP SAN。我正在测试一个数字海洋水滴,所以我还没有为我的水滴设置域名。
deploy:
stage: deploy
image: docker:stable
services:
- docker:dind
variables:
DOCKER_HOST: "tcp://$DROPLET_IP:2377"
DOCKER_TLS_VERIFY: 1
before_script:
- mkdir -p ~/.docker
- echo "$TLS_CA_CERT" > ~/.docker/ca.pem
- echo "$TLS_CERT" > ~/.docker/cert.pem
- echo "$TLS_KEY" > ~/.docker/key.pem
script:
- docker login -u gitlab-ci-token -p "$CI_JOB_TOKEN" "$CI_REGISTRY"
- docker info
- docker stack deploy --with-registry-auth --compose-file=docker-stack.yml mystack下面是我在GitLab CI作业的输出中得到的错误:
$ docker login -u gitlab-ci-token -p "$CI_JOB_TOKEN" "$CI_REGISTRY"
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
error during connect: Post https://<ip-address>:2377/v1.39/auth: x509: cannot validate certificate for <ip-address> because it doesn't contain any IP SANs我正在使用下面的一组命令来生成我的证书(ca.pem、server-cert.pem和server-key.pem),我正尝试在上面描述的deploy阶段中使用这些证书。我已经将TLS_CA_CERT、TLS_CERT和TLS_KEY保存到GitLab配置项中使用的变量中。
openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=<ip-address>" -sha256 -new -key server-key.pem -out server.csr
echo subjectAltName = IP:<ip-address> >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out server-cert.pem -extfile extfile.cnf回答 2
Stack Overflow用户
回答已采纳
发布于 2019-02-11 14:07:30
我看到您已经在subjectAltName中包含了IP地址
echo subjectAltName = IP:<ip-address> >> extfile.cnf如果这是配置问题,请检查,as in here:
我把subjectAltName放错地方了。工作方法:基本上是编辑
openssl.cnf,在[v3_ca]部分加上'subjectAltName = IP:192.168.2.107‘。
生成新证书并添加到服务器+客户端。
您需要确保您的扩展在v3_ca部件中声明为shown here。
Stack Overflow用户
发布于 2020-06-26 20:41:01
从OpenSSL 1.1.1开始,直接在命令行上提供subjectAltName变得更加容易,因为在openssl req中引入了-addext标志
示例:
export HOST="my.host"
export IP="127.0.0.1"
openssl req -newkey rsa:4096 -nodes -keyout ${HOST}.key -x509 -days 365 -out ${HOST}.crt -addext 'subjectAltName = IP:${IP}' -subj '/C=US/ST=CA/L=SanFrancisco/O=MyCompany/OU=RND/CN=${HOST}/'灵感来自link
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/54622879
复制相关文章
相似问题
腾讯云开发者
