use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0

最新推荐文章于 2024-01-04 14:31:24 发布
置顶 最新推荐文章于 2024-01-04 14:31:24 发布
阅读量6.4k 收藏 4
点赞数 7
分类专栏: golang linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40280629/article/details/113563351
版权

问题:

最近在golang 1.15+版本上,用 gRPC通过TLS实现数据传输加密时,遇到了一个问题:

 

原文:

2021/02/02 16:17:04 Call Route err: rpc error: code = Unavailable desc = connection error: desc = "transport: authentication  field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0"

造成的原因是因为我用的证书,并没有开启SAN扩展(默认是没有开启SAN扩展)所生成的,所以在导致客户端和服务端无法建立连接, 所以我们要根据提示来解决这个问题:

按照提示所示,有2种方案可以解决:

方案一:设置 GODEBUG 为 x509ignoreCN=0

      将go的 环境变量 GODEBUG 为 x509ignoreCN=0,但是我设置了,还是未成功,你们可以自己试下,是否能成功。

方案二:使用开启扩展SAN的证书

   1. 什么是 SAN

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

   2.如何生成含有SAN的证书

      2.1. 生成CA根证书

          2.1.1 准备ca配置文件,得到ca.conf

vim ca.conf

              内容如下:

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = Ted CA Test

      2.1.2 生成ca秘钥,得到ca.key                       

openssl genrsa -out ca.key 4096

     2.1.3 生成ca证书签发请求,得到ca.csr

openssl req \
  -new \
  -sha256 \
  -out ca.csr \
  -key ca.key \
  -config ca.conf

  配置文件中已经有默认值了,shell交互时一路回车就行

     2.1.4 生成ca根证书,得到ca.crt

  

openssl x509 \
    -req \
    -days 3650 \
    -in ca.csr \
    -signkey ca.key \
    -out ca.crt

2.2. 生成终端用户证书

   2.2.1 准备配置文件,得到server.conf

     

vim server.conf

内容如下:

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = www.eline.com

[ req_ext ]
subjectAltName = @alt_names

[alt_names]
DNS.1   = www.eline.com
IP      = 192.168.1.100

    2.2.2 生成秘钥,得到server.key

openssl genrsa -out server.key 2048

    2.2.3 生成证书签发请求,得到server.csr     

openssl req \
  -new \
  -sha256 \
  -out server.csr \
  -key server.key \
  -config server.conf

 配置文件中已经有默认值了,shell交互时一路回车就行

2.2.4 用CA证书生成终端用户证书,得到server.crt

openssl x509 \
  -req \
  -days 3650 \
  -CA ca.crt \
  -CAkey ca.key \
  -CAcreateserial \
  -in server.csr \
  -out server.pem\
  -extensions req_ext \
  -extfile server.conf

现在证书已经生成完毕, server.pem 和 server.key正式我们需要的证书和密钥,我们用生成的证书验证一下:

启动服务端:

  

启动成功了,

 

客户端调用:

看到调用成功了。

 

 

 

追光之光
关注
  • 7
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
docker login/pull报错x509: ... Common Name matching with GODEBUG=x509ignoreCN=0
weixin_40930677的博客
11-12 3566
背景: k8s集群扩容节点,扩容完成后发现节点daemonset启动失败,报错ImagePullBackOff,镜像拉取失败 排查: 登录扩容主机尝试手动docker login私有仓库地址 docker login --username=xxxx hub.xxx.com.cn # 登录仓库 > Error response from daemon: Get "https://hub.xxx.com.cn/v2/": x509: certificate relies on legacy Commo
记一次GRPC配置TLS遇到的SAN证书问题
kalulioo的博客
06-02 3183
记一次GO程序GRPC配置TLS遇到的SAN证书问题
GO 1.15 以上版本解决GRPC X509 Common Name field, use SANs or temporarily enable Common Name matching
cuichenghd的专栏
10-22 1万+
这几天在弄GO 语言 然后现在1.15.1版本 ,由于需要用到GRPC 所以就开始写代码 然后就碰到x509: certificate relies on legacy Common Name field 然后发现是GO1.15 X509 被砍了(不能用了) ,需要用到SAN证书,下面就介绍一下SAN证书生成 1:首先你的有OPENSSL,网上下载一个自己安装就可以了, 2:生成普通的key: openssl genrsa -des3 -out server.key 2048 (...
docker login失败 x509: certificate relies on legacy common name field use sans instead
duoyasong5907的博客
01-04 1159
解决办法是在daemon.json把仓库域名加入。
san ssl 证书docker 私有仓库搭建
u013332975的博客
08-25 1891
san ssl 证书docker 私有仓库搭建问题分析实现 问题 Get “https://kanq.test/v2/”: x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0 分析 由于docker 版本20.10.8 版本编译使用的go 版本过高(>1.15.1)。是因为 go 1.15
数字证书和golang的研究
秋天的博客
08-23 1077
数字证书和golang的研究 在go语言提供的系统包中包含了大量和数字证书有关的方法。在这些方法中就有私钥生成的方法、私钥解析的方法、证书请求生成的方法、证书生成的方法等等。通过这些方法应该能够实现和openssl命令类似的功能。 仿照openssl生成证书的流程(从私钥的生成—>证书请求的生成—>证书的生成)用go语言进行模拟。 私钥的生成 在go的x509包下有go定义...
chiron-sans-hk-pro:Chiron没有HK +来源没有Pro = Chiron没有HK Pro
04-29
昭源黑体Pro(Chiron Sans HK Pro) 概述 TL; DR:Chiron Sans HK + Source Sans 3 = Chiron Sans HK Pro Chiron Sans HK Pro (昭源黑体Pro)是无衬线CJK字体。 在,它整合了发现的整个字符集。 Chiron Sans HK是...
SANS 164-0-2023 Ed1Am9.pdf
最新发布
05-07
SANS 164-0-2023 Ed1Am9.pdf
tame-oauth::locked_with_key:遵循sans-io方法的小型OAuth板条箱:crab:
05-17
:locked_with_key: tame-oauth tame-oauth是遵循方法的小型oauth板条箱。 为什么? 您想控制如何实际发出oauth HTTP请求 为什么不? 当前唯一实现的身份验证流是GCP的服务帐户流。 可以添加其他流程,但是现在这...
HarmonyOS Sans.zip
06-17
HarmonyOS Sans是一款由华为公司为HarmonyOS操作系统精心设计的字体,旨在提供统一、流畅的用户体验,提升系统界面的易读性和美观性。这款字体在设计时充分考虑了多设备、多场景的应用需求,确保在不同尺寸的屏幕和...
Kubernetes 常见问题排查与解决方案!(纯干货)
热门推荐
云原生实验室
07-29 1万+
毫无疑问,Kubernetes 是个伟大的开源作品,给作者所在团队中极大地提高了生产力,但在使用过程中,相信很多人跟作者一样,会遇到各种各样的问题,有时候解决的过程也是非常享受,某些问题还...
Go 1.15 正式发布
Go中国
08-13 3315
就在昨天,也就是2020年8月11日,go开发团队发布了go最新版本1.15。该版本在 1.14 的基础上继续改进工具链、运行时和库。也保留了GO1兼容性的承诺。这几乎保证所有的go程序...
Golang 服务器端对客户端的证书进行校验(双向证书校验)
zhengzizhi的专栏
06-25 1万+
服务器端对客户端的证书进行校验(双向证书校验),客户端访问服务器端,必须校验,如果跳过验证,客户端无法成功地建立与服务器之间的连接,也就是您在浏览器地址访问服务器api接口时,会同样象单向校验那样出现“Your connection is not secure”,即使您此时在浏览器页面上选择添加安全异常,也无法建立与服务器连接。
Harbor从库报错Error response from daemon: Get "https://www2.yunjisuan.com/v2/": x509: certificate relies on legacy Common Name field, use SANs instead怎么解决
03-08
这个问题可能是由于 Harbor从库的证书过期或不正确导致的。您可以尝试更新证书或使用其他可靠的从库。您还可以尝试使用以下命令来跳过证书验证:export DOCKER_TLS_VERIFY=""; export DOCKER_CERT_PATH=""; export DOCKER_HOST="tcp://<your-harbor-host>:<your-harbor-port>".

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值