مشکل خاص در ویلدکارت

[dollar]

سلام
من برای سرویس ikev2 یه ویلدکارت سفارش دادم چون تعداد هاست نیم ها زیاد بود . ولی مشکلی که هست ویلدکارت به اینصورت هست example.com.*
که اولش با ستاره نشون میده که یعنی تمام ساب دامین هادارای اس اس ال هست . ولی مشکلی که هست وقتی با اندروید میخوام کانکت بشم این نوع را نمیشناسه و حتما باید با اسم باشه که بتونه کانکت بشه مثلا name.example.com
کسی از دوستان تجربه ای داره در زمینه kev2? و این نوع اس اس ال...

[hamid1101]

اون *.example.com که شما گفته اید فقط برای وقتی هست که SSL را سفارش میدهید و گواهینامه شما بر این اساس صادر میشه که نشون میده این گواهینامه را روی هر ساب دامینی که تعریف کنید معتبر خواهد بود و پیغام خطا نخواهد داد. برای هرکدام از ساب دامین های خودتون این گواهینامه ای که خریداری کرده اید را باید به صورت مجزا نصب کنید. یعنی یکبار برای name1.example.com یکبار برای name2.example.com و الی آخر....

[dollar]

چطوری؟
یعنی هربار reissue بزنم و یکی دیگه درست کنم؟

[hamid1101]

نه... وقتی میخواهید گواهینامه را روی سرورتون نصب کنید... به ازای هر ساب دامین باید به صورت مجزا کانفیگ بشه

[dollar]

خوب من هاست نیم Record A در اصل دارم و سرور ابونتو برای سرویس های ***
و فقط یک اس اس ال example.com.* هست . نمیشه چندین اس اس ال ساخت. تیکت دادم به خود کمپانی کمودو گفت سرور اتومات اون * را میشناسه . اگر بخواین برای هر hostname مجزا داشته باشین باید ویلدکارت چند دامنه بگیرین.
stronswan نمیتونه * را بشناسه در اندروید و باید هاست نیم واقعی باشه... میتونین در تلگرام باهم یه چتی داشته باشیم؟
https://telegram.me/Oshoooooo

[hamid1101]

اصلا نیازی نیست که چندین SSL بسازید. وقتی شما از کومدو SSL وایلدکارت گرفته اید یک فایل crt و یک فایل ca-bundle به شما داده.
همین فایل را باید برای همه ساب دامین های خودتون نصب کنید یعنی هی کپی بگیرید از همین فایل و برای هر ساب دامین که در مورد شما احتمالا هر کدوم روی یک سرور مجزا هست نصب بفرمایید. اصلا نیاز نیست که دوباره SSL سفارش بدهید و یا قبلی را reissue کنید.

یعنی اول فایل های SSL خودتون را روی سرور مثلا آمریکا نصب می کنید
بعد همون فایل ها را روی سرور انگلیس کپی می کنید و اونجا نصب میکنید
بعد همون ها را روی سرور فرانسه کپی می کنید و اونجا نصب می کنید
الی آخر...

----
اگر همه ساب دامین های شما مربوط به یک دامنه باشه یعنی مثلا name1.example.com و name2.example.com و الی آخر٫ وایلدکارت معمولی را میتوانید استفاده کنید
ولی اگر که ساب دامین های شما مربوط به چند دامنه مختلف باشد مثلا name1.example.com و name2.test.com و غیره٫ اونوقت بایستی مالتی دامین تهیه کنید

[dollar]

خب من هم دقیقا همین کار را میکنم. ولی در alt-name وقتی که در سرور ipsec listcerts میزنیم اینطوری نمایش داده میشه :
altNames: *.example.com, example.com
flags: serverAuth clientAuth
CRL URIs: http://crl.comodoca.com/COMODORSADom...reServerCA.crl
OCSP URIs: http://ocsp.comodoca.com
certificatePolicies:
1.3.6.1.4.1.6449.1.2.2.7
CPS: https://secure.comodo.com/CPS
2.23.140.1.2.1
authkeyId: 90:af:6a:3a:94:5a:0b8:90:ea:1273f:43:b4:3a:28a:e7
subjkeyId: 8a:ac:fe:c9:ee58:bb:99b4:12:e5:a0:26:88:1f:89:11:4e
pubkey: RSA 2048 bits, has private key

و وقتی میخوای به این سرور کانکت بشی برنامه ikev2 در جستجوی این هاست نیم هست name1.example.com ولی چون در اینجا ستاره داره تشخیص نمیده و ارور اتصال میده.

[hamid1101]

الان گواهینامه شما به عنوان وایلدکارت درسته
مشکلی که هست اینه که StrongSwan نمیتونه با این گواهینامه کار کنه که دلیلش هم این هست که نمیتونه ID_FQDN سرور و کلاینت را با DN یا همون نام دامین که توی گواهینامه اومده تطبیق بده.
در این مورد خاص شرکت صادرکننده گواهینامه باید همه نام های هاست شما یا همون ساب دامین ها را توی قسمت subjectAltName گواهینامه ای که میسازه قرار بده. یعنی در حقیقت از قابلیت چند SAN مختلف استفاده کنه که میشه همون MultiDomain فقط به جای چند دامین مختلف چند ساب دامین مختلف باید قرار داده بشه


به عبارت دیگه در این مورد بخصوص همون چیزی که کومودو گفته درسته و باید یک گواهینامه مالتی دامین تهیه بفرمایید که ساب دامین ها به صورت مجزا داخلش گنجانده بشه به عنوان SAN های ثانویه.

[dollar]

الان گواهینامه شما به عنوان وایلدکارت درسته
مشکلی که هست اینه که StrongSwan نمیتونه با این گواهینامه کار کنه که دلیلش هم این هست که نمیتونه ID_FQDN سرور و کلاینت را با DN یا همون نام دامین که توی گواهینامه اومده تطبیق بده.
در این مورد خاص شرکت صادرکننده گواهینامه باید همه نام های هاست شما یا همون ساب دامین ها را توی قسمت subjectAltName گواهینامه ای که میسازه قرار بده. یعنی در حقیقت از قابلیت چند SAN مختلف استفاده کنه که میشه همون MultiDomain فقط به جای چند دامین مختلف چند ساب دامین مختلف باید قرار داده بشه


به عبارت دیگه در این مورد بخصوص همون چیزی که کومودو گفته درسته و باید یک گواهینامه مالتی دامین تهیه بفرمایید که ساب دامین ها به صورت مجزا داخلش گنجانده بشه به عنوان SAN های ثانویه.

ممنون از شما
بله خودم هم به این نتیجه رسیدم . کاری نمیشه کرد ... البته اگر بتونم 2 تا privatekey را به سرور بشناسونم کارم راحت میشه چون از هر هاست نیم یکی رایگان اس اس ال دارم ولی اپل و گوگل دیگه شرکتش را قبول نمیکنه برای همین ویلدکارت خریدم که این هم این مشکل را داره .
حالا فک کنم باید یه پست بسازم درباره اینکه چطوری میتونم 2 تا privatekey را در ابونتو بزارم که سرور بشناسه در قسمت ipsec.d

[hamid1101]

در مورد چندتا SSL با private.key های مختلف٫ توی کانفیگ ipsec از کد نمونه زیر میشه استفاده کرد:

کد:

conn rw1
         right=%any
         rightid=@peer1.domain1
         leftcert=myCert1.pem
         # leftid is DN of myCert1

کد:

 

conn rw2
         right=%any
         rightid=@peer2.domain2
         leftcert=myCert2.pem
         # leftid is DN of myCert2

گواهینامه mycert1 از mykey1 و mycert2 از mykey2 استفاده میکنه که key ها را توی /etc/ipsec.secrets باید تعریف کنید

-----------
البته گواهینامه ای که خریداری کرده اید معمولا تا 15 - الی 30 روز قابل بازگشت وجه هست.

ولی بسته به تعداد ساب دامین هایی که دارید امکان اینکه گواهینامه SSL از Certum را با قیمت مناسب ارایه کرد وجود داره.