x509:无法验证<<HOST IP>>的证书，因为它不包含任何IP SANs Hyperledger Fabric-CA

Question

我正在尝试注册一个具有其根证书颁发机构的中间证书颁发机构，我使用的是TLS，ca运行在使用fabric-ca镜像的独立docker容器中。如果我通过docker网络发送CSR没有问题，但如果我尝试通过我的本地网络发送它，我会遇到这个问题: x509:无法验证"HOST_IP“的证书，因为它不包含任何IP SAN。我读到我的问题的原因，是TLS证书不包含in (IP主题替代名称)，这是TLS证书中的一个字段，基本上是说：“证书颁发给了一个主机，它的IP是：<1.2.3.4>”。那么，如果这就是问题所在，我该如何将此字段添加到我的证书中呢？如果没有，问题是什么，我如何解决它？感谢和问候！

Answer 1

您可以按照here中类似的IP SANS问题的说明进行操作。此外，还详细解释了mailing List中的IP SANS问题。还要确保当您使用Fabric CA客户端时，要生成证书，请使用服务器的主机名来请求相同的证书。例如fabric-ca-client enroll -d --enrollment.profile tls -c <client configuration file> -u https://admin:adminpw@<server hostname>:7054 --csr.hosts $PEER_HOST。如果在URL握手中给出了IP地址，那么在服务器端握手将失败，并出现bad TLS certificate错误，而在客户端，由于用于执行与服务器握手的ca-cert.pem包含的是主机名而不是IP地址，所以会出现证书不包含IP SANS错误。