Início / server / Perguntas / 1179553
Accepted
codechurn
Asked: 2025-04-21 12:03:24 +0800 CST

Gerar certificado curinga usando a CA do Windows

  • 772

Estou tentando emitir um certificado de servidor Web *.internal usando minha CA do Windows que posso então importar para o PFSense e usar com o HAProxy.

  1. Na CA, abri o Gerenciador de certificados no escopo Computador local.
  2. Eu navego até Personal, Certificatesclico com o botão direito e entãoRequest New Certificate
  3. Selecione e clique em Avançar Certificate Enrollment.Active Directory Enrollment Policy
  4. Seleciono o Web ServerModelo de Certificado e defino os seguintes detalhes:
    Guia Assunto
    Common Name: *.internal
    DNS Name: *.internal
    Guia Chave Privada
    Make Private Key Exportable
  5. Em seguida, clico em "Inscrever-se". O certificado aparece no meu repositório pessoal. Exporto o certificado (com a chave privada) e depois o importo para o PFsense.
  6. Configurei o HAProxy para fazer o offload de SSL usando o certificado. Ao navegar em um site, recebo o seguinte erro:

Mensagem de erro do certificado do navegador

O que estou perdendo/fazendo errado com o certificado? Aqui está o certificado (como baixado do navegador) após visualizar o site:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
windows

1 respostas

  1. Best Answer

    Não há nada de errado com o certificado, mas o navegador não permite certificados curinga para domínios de nível superior nem para domínios controlados pelo registro público/ICANN.

    Para o Chromium, a abordagem atual foi adicionada em d5dd7dd7 em 17 de maio de 2013:

    // Do not allow wildcards for public/ICANN registry controlled domains -
// that is, prevent *.com or *.co.uk as valid presented names, but do not
// prevent *.appspot.com (a private registry controlled domain).
// In addition, unknown top-level domains (such as 'intranet' domains or
// new TLDs/gTLDs not yet added to the registry controlled domain dataset)
// are also implicitly prevented.

    Mesmo antes disso, certificados curinga muito amplos foram bloqueados exigindo pelo menos dois pontos no FQDN, mas isso não funcionou bem para, por exemplo, *.co.uk.

    // We required at least 3 components (i.e. 2 dots) as a basic protection
// against too-broad wild-carding.
// Also we don't attempt wildcard matching on a purely numerical hostname.
allow_wildcards = reference_domain.rfind('.') != 0 &&
    • 1

relate perguntas