文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >证书的CN (自签名或其他)必须是DNS可解析的吗?

证书的CN (自签名或其他)必须是DNS可解析的吗?
EN

Security用户
提问于 2018-10-05 11:54:42
回答 1查看 1.7K关注 0票数 1

我试图让Bareos使用一个自签名的证书来处理TLS加密。

我已经为自签名证书CN使用了服务器的名称.服务器没有域集。

但我搞错了..。

代码语言:javascript
复制
# bconsole
Connecting to Director Server-Name:9xxx
Authorization problem with Director at "Server-Name:9xxx"
Most likely the passwords do not agree.
If you are using TLS, there may have been a certificate validation error during the TLS handshake.
Please see http://doc.bareos.org/master/html/bareos-manual-main-reference.html#AuthorizationErrors for help.

也是从原木..。

代码语言:javascript
复制
05-Oct 10:23 bareos-dir JobId 0: Fatal error: Authorization problem: Remote server did not advertize required TLS support.
05-Oct 10:23 bareos-dir: ERROR in authenticate.c:283 Unable to authenticate console "*UserAgent*" at client:17.x.x.x5:9xxx.

我很好奇这是否与TLS解析主机名以将其与证书匹配有关。CN/名称服务器位于/etc/主机中,但不能通过DNS解析。

也就是说。

代码语言:javascript
复制
root@Server-Name ~ # hostname
Server-Name
root@Server-Name ~ # domainname
(none)
root@Server-Name ~ # ping Server-Name
PING Server-Name (17x.x.x.x5) 56(84) bytes of data.
64 bytes from Server-Name (17x.x.x.x5): icmp_seq=1 ttl=64 time=0.042 ms
64 bytes from Server-Name (17x.x.x.x5): icmp_seq=2 ttl=64 time=0.034 ms
64 bytes from Server-Name (17x.x.x.x5): icmp_seq=3 ttl=64 time=0.040 ms
^C
--- Server-Name ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 0.034/0.038/0.042/0.007 ms
root@Server-Name ~ # nslookup Server-Name
Server:     2x.x.x.x0
Address:    2x.x.x.x0#53

** server can't find Server-Name: NXDOMAIN
tls
certificates
openssl
EN

回答 1

Security用户

回答已采纳

发布于 2018-10-05 12:19:03

在将证书的主题(CN或主题替代名称)与给定的主机名进行比较时,不涉及DNS。它将只检查预期名称是否与主题匹配,即完全匹配或通配符匹配。

DNS只用于将IP地址发送到主机名。需要此IP地址才能建立到目标的TCP连接,然后在此TCP连接之上运行TLS。

在特定情况下,DNS不是用来获取主机名的IP地址,而是使用/etc/hosts中的一个固定条目。如何将主机名解析为IP通常对应用程序是透明的,也取决于系统和系统设置。在您的示例中,ping将透明地使用来自/etc/hosts的条目,因为它使用的是libc的解析函数。相反,nslookup将无法解析名称,因为通过设计,它将查询名称服务器(因此程序的名称),而不查看/etc/hosts

至于你的具体问题..。我不知道Bareos,但是错误消息表明客户机被配置为使用TLS,而服务器没有使用TLS(正确吗?)配置为提供TLS。这与证书验证无关,因为客户端只能在服务器首先支持TLS的情况下才能验证证书,这里似乎没有这样的情况:

..。授权问题:远程服务器没有宣传所需的TLS支持。

票数 2
EN
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://security.stackexchange.com/questions/195129

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档