TLS域名不匹配

最新推荐文章于 2024-05-06 15:15:32 发布
最新推荐文章于 2024-05-06 15:15:32 发布
阅读量1.2k 收藏
点赞数
文章标签: grpc golang 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aashuii/article/details/121396618
版权

有的场景server IP动态变化,不能使用IP签发证书(或者因为多实例之类的问题),用域名签发又需要dns,希望客户端能使用IP访问,证书仍然用域名签发。

在一般的实现用,会把dial的dest作为SANs,跟证书的subject匹配,返回失败:

CRYPTO_ERROR (0x12a): x509: cannot validate certificate for 127.0.0.1 because it doesn't contain any IP SANs

但TLS也会提供自己设置证书subject的接口,以quic-go为例:

tlsConf := &tls.Config{
	RootCAs:            pool,
	InsecureSkipVerify: false,
	ServerName: "localhost", //客户端认为server提供的证书的subject
	NextProtos:   []string{"quic"},
}

ServerName描述

另外也可以跳过TLS自带的验证,自己实现证书验证:
跳过tls认证

aashuii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CAS客户端链接报错
FANET
06-01 755
CAS客户端链接报错,如: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to
TLS初探(4)多域名证书
jjxojm的专栏
07-30 2184
       在“TLS初探(2)证书简介”中提过,如想使用泛域名,可在Subject DN(Distingushed Name)的CN(Common Name)中使用*通配符,例如*.abc.com。而如果想使用同一证书匹配多个域名,可以使用X.509中扩展字段的Subject Alternative Name字段来进行多域名支持。        为此如果想支持多域名证书,首先就要想办法在CS...
客户端服务器通信协议版本不匹配,TLS版本不匹配(?)
weixin_30421043的博客
08-13 2687
让我们说我作为客户的一方支持TLS V1.0,1.1和1.2。远程站点支持TLS V1.0和1.1。双方支持相同的密码。我的问题:1 - 根据我的理解,我将始终使用我可用的最高TLS版本启动通信。在那种情况下,我将如何能够与另一方联系?2 - 以下是如上所述的客户端和服务器之间的Wireshark CLIENT HELLO捕获。TLSv1.1 Record Layer: Handshake P...
其他机器上访问harbor机器,报错tls: failed to verify certificate: x509: cannot validate certificate for
最新发布
qq_42863978的博客
05-06 1096
docker-harbor
springboot配置MongoDB集群报错:Canonical address IP does not match server address...
九九八拾一的博客
05-11 2285
MongoDB接入开发程序,springboot配置MongoDB集群报错(前提:linux服务器配置了主机名) 报错:Canonical address IP does not match server address.Removing IP from client view of cluster 原配置: data: mongodb: uri: mongodb://192.168.9.145:28017,192.168.9.146:28017,192.168.9.147:28017/
记一次现网CAS服务切换域名上线失败
爱琴孩的博客
04-09 1915
前言 前段时间,现网集成SSO的几个服务由于一些因素需要切换域名,本来以为很简单的事,实际上线却出了点问题,导致了这次上线失败,上线失败主要原因是新替换的域名,生成环境访问不了,这里借着这次上线失败,再和大家一起捋捋CAS。 CAS在跨网场景下重定向 使用CAS登录的过程中会涉及到三次重定向,如果在同一个局域网内,是没有任何问题的,但如果涉及到跨网访问(如内网部署、外网访问)就有问题了: 如下图两个红五角星处,外网浏览器要访问的登录页面IP和内网做ticket验证的IP,对cas客户端来说是同一
mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS
09-11
客户端需要检查服务器证书是否由受信任的证书颁发机构(CA)签发,以及证书中的域名是否与预期的服务器地址匹配。 3. **MQTT连接设置**:在建立MQTT连接时,客户端需要指定使用TLS,并可能需要提供额外的配置,如CA...
Nginx进行域名重写和泛域名解析配置的方法
09-29
域名解析是指一个域名可以匹配所有二级域名甚至更低级别的子域名。在Nginx中,我们可以通过正则表达式实现这一功能。以下配置将所有.web.yuyuyun.cn的子域名请求转发到本地的1119端口,并根据子域名前缀分发不同的...
SSL证书查看工具 ,支持TLS1.2
09-25
此外,工具还会验证证书的域名是否与正在访问的网站匹配,防止中间人攻击。 2. **证书链检查**:在SSL/TLS连接中,证书通常包含一系列证书,形成一个证书链,从服务器证书到根证书。这个工具会确保每个证书都在链中...
Nginx 防止被域名恶意解析的办法
09-30
解决这个问题的关键在于设置一个“默认”服务器,用于处理所有未匹配到特定域名的请求。 在 Nginx 配置文件中,可以通过以下代码来创建一个“默认”服务器,返回 403 Forbidden 状态码,阻止非法请求: ```nginx ...
Nginx配置文件——一级域名、二级域名
01-06
在IT行业中,Nginx是一款广泛应用的高性能HTTP和反向代理服务器,它的配置灵活性和...对于更复杂的应用场景,如SSL/TLS加密、URL重写、缓存策略等,Nginx也提供了丰富的配置选项,使其成为IT基础设施中的重要组成部分。
TLSA记录轮转-------------
05-14
python 代码,使用dnspython库,完成TLSA记录的轮转。 动态更新。-----------------------------------
深入理解 TLS、HTTPS
afterlife_union的博客
03-31 465
理解TLS和HTTPS
HTTPS双向认证
Starr
02-28 6996
文章目录双向认证服务端客户端(问题残留) 双向认证 C/S两端分别生成密钥对,交换公钥,基于公钥验证另一端。 第一步,创建密钥对,把公钥存储为自签名、PEM编码的证书。用openssl即可,这里以一个HTTPS服务端为例: openssl req -nodes -x509 -newkey rsa:4096 -keyout serverKey.pem -out serverCrt.pem -days 365 serverKey.pem包含服务器的私钥,需要保护;serverCrt.pem包含服务器的公钥,用
[k8s] tls: failed to verify client‘s certificate: x509: certificate has expired or is not yet valid
onlyellow的博客
09-30 6715
29号晚上同事发现部署的API接口服务崩了。同时k8s服务也崩了(我们自己写的API服务调用k8s)。当时就怀疑是k8s崩溃导致API调用失败,然后api报错退出(这里API容错机制也有问题,但不是这篇文章主题)。 第二天来调查k8s问题:执行k8s命令报错 [root@onlyellow2~]# kubectl get pod Unable to connect to the server: x509: certificate has expired or is not yet valid 第一感.
nginx: [warn] invalid value "TLSv1.1"
S_simple_的博客
11-21 2606
Nginx保持着一个较快速的更新,7年前是0.7.54。之前一直使用0.7.54的稳定版,但现在网站都是要支持HTTPS,所以要升级支持SSL,而且苹果应用指定要支持TLS v1.2,无奈Nginx 1.0.12版本以上才支持TLSv1.2。 所以 升级nginx吧骚年! ...
java Mail发邮件 smtp被TLS加密认证不了的解决方案
热门推荐
小江的专栏
12-12 5万+
开始测试前,要确保发邮件的服务器的smtp服务可用。 不然会抛出异常: Sending the email to the following server failed : m.xxx.com:25 Caused by: javax.mail.AuthenticationFailedException: 334 NTLM supported 然后介绍下我的开发环境(conte
code ERR_TLS_CERT_ALTNAME_INVALID
04-27
code ERR_TLS_CERT_ALTNAME_INVALID 是一个TLS证书错误代码,表示TLS证书中的主机名与请求的主机名不匹配。当使用HTTPS协议进行通信时,服务器会提供一个TLS证书,用于验证服务器的身份和加密通信。而当客户端收到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值