pfSense で証明書を生成するには、次の Web UI を使用します。
localhost
複数のドメイン(最初はおよび)が提供するのに適した証明書を生成しようとしていますnebula3
。
これは正しい考えですか?
残念ながら、生成された証明書を確認すると、openssl
次のようになります。
# openssl x509 -noout -subject -in nebula3.crt
subject= /C=RU/ST=Moscow/L=Moscow/O=In The Moon Network/[email protected]/CN=nebula3
CN
つまり、フィールドは1つだけ表示され、SAN
フィールドは表示されません。
pfSense
これは確かにWebインターフェースにバグがあることを意味しますか、それとも別の場所を見つける必要がありますか?
ベストアンサー1
pfSense生成証明書については最近処理されており、VPNサーバーのコンテキストでの使用を放棄しました。
既定では、VPN 証明書に署名するときは、次の追加属性を使用します。
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
subjectAltName = DNS:youralternanetname.uk, IP:193.x.x.x, DNS:193.x.x.x
nsCertType = server
extendedKeyUsage = serverAuth, 1.3.6.1.5.5.8.2.2
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
Windowsクライアントは、証明書でVPNサーバーのIPアドレスを確認する必要があるようです。
また、opensslコマンドラインCSR要求にオプションを追加する必要があります。それ以外の場合は存在しない可能性があるため、-extensions v3_req
表示されません。-noout
pfSenseに証明書をロードする場合は、次の手順を実行します。
システム - >証明書。管理者 - >証明書 - > +追加 - >既存の証明書をインポートします。実際の証明書には完全なX.509証明書チェーンを含める必要があります。