Упс... вчера чуток промахнулся.
Вот работающий сертификат:
Цитата:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 32 (0x20)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=RU, L=Moscow, O=OOO Stels, OU=CA, CN=OOO Stels CA
Validity
Not Before: Jun 11 06:24:18 2017 GMT
Not After : Jun 9 06:24:18 2027 GMT
Subject: C=RU, O=OOO Stels, CN=testvb0
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c5:3d:7f:dc:53:b0:43:26:6e:5e:7e:10:a7:cf:
7e:fd:26:85:b1:eb:60:50:81:b3:e1:00:f6:8e:70:
c9:23:5f:8a:56:6b:aa:81:e3:99:cc:2e:c0:56:f5:
61:ca:2e:fb:cd:cb:a9:6b:d1:81:3c:f3:2f:f5:1e:
23:7c:bf:c6:10:57:32:84:7b:66:b9:b5:07:16:27:
4a:06:5b:21:66:c5:ff:a2:19:9e:a0:e4:5c:db:10:
e0:da:e3:73:b0:d8:e3:48:fd:be:cb:e5:ea:3e:e5:
09:98:48:97:c5:e0:1d:ea:4f:08:5c:95:80:84:9e:
e0:19:4e:9b:7d:15:dd:b2:62:ac:89:5f:65:75:5e:
1c:6a:df:22:49:6a:a5:f7:c1:54:5b:91:be:ae:6d:
ed:46:cc:e6:11:1a:b1:27:ae:4c:be:51:52:f8:be:
1b:5f:1f:89:86:1b:76:bc:84:97:63:c4:7d:f7:45:
be:6a:e0:79:01:ed:99:5f:75:f5:e3:94:b1:ab:63:
32:d0:e3:55:1e:61:b7:ae:fc:17:dd:cc:0c:21:ad:
30:a9:ec:1f:8d:0a:d3:b1:61:2e:dc:2f:c1:bf:c1:
24:27:95:98:ac:79:ae:4d:51:13:06:d6:7e:26:80:
1d:e6:29:8a:fb:18:a5:dc:c3:66:a7:be:50:17:26:
cc:4d
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
IP Address:178.57.87.170, IP Address:192.168.5.5, DNS:vb0.stels.ru
Тот, который вчера написал как работающий - не работает тоже, это тоже новый.
Впрочем, разница, как видно, только в альтернативных именах, последней части subject и датах, что естественно. Ну и ключ другой, разумеется. Алгоритмы, размеры ключа - те же.
Собственно, потому его и понадобилось менять, что изменились альтернативные имена.
Уже подумал, что дело может быть и в common name, но, кажется, у DFL нет оснований предпочесть одно другому? Я искал и не нашел ничего, похожего на "имя устройства" в параметрах dfl.
Выпустить сертификат с таким же common name боюсь, потому что тогда действующий сертификат попадет в crl и может стать недействующим. Впрочем, попробовать можно.
Да, порядок в альтернативных именах поменять попробую, хотя это уже шаманство. Работающий сертификат работает по всем alt names, не работающий - не работает по всем.