use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0

最新推荐文章于 2024-01-04 14:31:24 发布
置顶 最新推荐文章于 2024-01-04 14:31:24 发布
阅读量6.6k 收藏 4
点赞数 7
CC 4.0 BY-SA版权
分类专栏: golang linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40280629/article/details/113563351

问题:

最近在golang 1.15+版本上,用 gRPC通过TLS实现数据传输加密时,遇到了一个问题:

 

原文:

2021/02/02 16:17:04 Call Route err: rpc error: code = Unavailable desc = connection error: desc = "transport: authentication  field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0"

造成的原因是因为我用的证书,并没有开启SAN扩展(默认是没有开启SAN扩展)所生成的,所以在导致客户端和服务端无法建立连接, 所以我们要根据提示来解决这个问题:

按照提示所示,有2种方案可以解决:

方案一:设置 GODEBUG 为 x509ignoreCN=0

      将go的 环境变量 GODEBUG 为 x509ignoreCN=0,但是我设置了,还是未成功,你们可以自己试下,是否能成功。

方案二:使用开启扩展SAN的证书

   1. 什么是 SAN

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

   2.如何生成含有SAN的证书

最低0.47元/天 解锁文章

200万优质内容无限畅学
docker login/pull报错x509: ... Common Name matching with GODEBUG=x509ignoreCN=0
weixin_40930677的博客
11-12 3754
背景: k8s集群扩容节点,扩容完成后发现节点daemonset启动失败,报错ImagePullBackOff,镜像拉取失败 排查: 登录扩容主机尝试手动docker login私有仓库地址 docker login --username=xxxx hub.xxx.com.cn # 登录仓库 > Error response from daemon: Get "https://hub.xxx.com.cn/v2/": x509: certificate relies on legacy Commo
go-grpc TSL认证 解决 transport: authentication handshake failed: x509 certificate relies on ... ...
scarificed的博客
08-05 3927
go-grpc TSL认证 解决 transport: authentication handshake failed: x509 certificate relies on... ... go-grpc基础通信上加上TSL认证
GO 1.15 以上版本解决GRPC X509 Common Name field, use SANs or temporarily enable Common Name matching
cuichenghd的专栏
10-22 1万+
这几天在弄GO 语言 然后现在1.15.1版本 ,由于需要用到GRPC 所以就开始写代码 然后就碰到x509: certificate relies on legacy Common Name field 然后发现是GO1.15 X509 被砍了(不能用了) ,需要用到SAN证书,下面就介绍一下SAN证书生成 1:首先你的有OPENSSL,网上下载一个自己安装就可以了, 2:生成普通的key: openssl genrsa -des3 -out server.key 2048 (...
docker login失败 x509: certificate relies on legacy common name field use sans instead
duoyasong5907的博客
01-04 2470
解决办法是在daemon.json把仓库域名加入。
写给go开发者的gRPC教程-通信安全
kevin_tech的博客,微信搜「网管叨bi叨」
05-17 421
使用 TLS 安全传输数据什么是 SSL/TLSSSL 包含记录层(Record Layer)和传输层[1],记录层协议确定传输层数据的封装格式。传输层安全协议使用X.509[2]认证,之后利用非对称加密演算来对通信方做身份认证,之后交换对称密匙作为会话密匙(Session key[3])。这个会谈密匙是用来将通信两方交换的资料做加密,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通...
san ssl 证书docker 私有仓库搭建
u013332975的博客
08-25 2087
san ssl 证书docker 私有仓库搭建问题分析实现 问题 Get “https://kanq.test/v2/”: x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0 分析 由于docker 版本20.10.8 版本编译使用的go 版本过高(>1.15.1)。是因为 go 1.15
记一次GRPC配置TLS遇到的SAN证书问题
kalulioo的博客
06-02 3455
记一次GO程序GRPC配置TLS遇到的SAN证书问题
【docker login报错】x509: cannot validate certificate for IP地址 because it does not contain any IP SANs
qq_41042211的博客
05-10 9061
原因 如果服务器名称是 IP 地址,还会检查证书的Subject Alternative Name(SAN),因此需要创建一个包含此名称的证书。 否则,docker login 时会报如下错误: Error response from daemon: Get https://x.x.x.x/v2/: x509: cannot validate certificate for x.x.x.x because it doesn't contain any IP SANs 解决方法 在证书中生成x509
Kubernetes 常见问题排查与解决方案!(纯干货)
热门推荐
云原生实验室
07-29 2万+
毫无疑问,Kubernetes 是个伟大的开源作品,给作者所在团队中极大地提高了生产力,但在使用过程中,相信很多人跟作者一样,会遇到各种各样的问题,有时候解决的过程也是非常享受,某些问题还...
Go 1.15 正式发布
Go中国
08-13 3449
就在昨天,也就是2020年8月11日,go开发团队发布了go最新版本1.15。该版本在 1.14 的基础上继续改进工具链、运行时和库。也保留了GO1兼容性的承诺。这几乎保证所有的go程序...
Golang 服务器端对客户端的证书进行校验(双向证书校验)
zhengzizhi的专栏
06-25 1万+
服务器端对客户端的证书进行校验(双向证书校验),客户端访问服务器端,必须校验,如果跳过验证,客户端无法成功地建立与服务器之间的连接,也就是您在浏览器地址访问服务器api接口时,会同样象单向校验那样出现“Your connection is not secure”,即使您此时在浏览器页面上选择添加安全异常,也无法建立与服务器连接。
gRPC入门指南 — 通过TLS建立安全连接(五)
Seekload
07-19 579
点击上方蓝色“Golang来啦”关注我哟加个“星标”,天天 15 分钟,掌握 Go 语言前言前几篇文章大家看到的例子,通信双方都是没有经过 TLS 加密的。可以看下下面的抓包数据,都是明文...
x509使用
weixin_34199405的博客
06-11 382
参考了:Java使用数字证书加密通信(加解密/加签验签)https://www.cnblogs.com/shindo/p/6349070.html http://snowolf.iteye.com/blog/391931Java加密技术(八)——数字证书 http://snowolf.iteye.com/blog/735294Java加密技术(十二)——.PFX(.p12)&个人信息交换文...
Go官方 - 1.18 发布说明
Go中国
03-12 1133
拟定发布 - Go 1.18介绍Go 1.18还没有发布。这些是正在进行中的发布说明。Go 1.18预计将于2022年2月发布。Go语言的变化泛型Go 1.18包含一个在类型参数提案中描述...
Error response from daemon: Get "xxx/v2/": tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead
最新发布
07-25
<think>我们面对的问题:Docker守护进程因TLS证书验证失败导致的连接错误,具体错误信息为: Error response from daemon: Get "https://harbor.x.com/v2/": tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead 根据错误信息,问题在于Docker客户端(或守护进程)使用的Go语言TLS验证机制不再支持仅使用Common Name(CN)的证书,而要求使用Subject Alternative Names(SANs)。在较新版本的Go中,默认行为是忽略CN,只检查SANs扩展。因此,如果证书没有设置SANs,就会报错。 解决方案有两个方向: 1. 重新生成证书,包含SANs扩展(推荐长期解决方案)。 2. 临时调整Docker客户端的行为,使其兼容旧证书(临时解决方案)。 ### 解决方案一:重新生成证书(推荐) 步骤: 1. 生成CA私钥和自签名证书(如果还没有CA): ```bash openssl genrsa -out ca.key 4096 openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \ -key ca.key \ -out ca.crt ``` 2. 生成服务器私钥和证书签名请求(CSR): ```bash openssl genrsa -out yourdomain.com.key 4096 openssl req -sha512 -new \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \ -key yourdomain.com.key \ -out yourdomain.com.csr ``` 3. 创建x509 v3扩展配置文件(`v3.ext`),包含SANs: ``` authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1=yourdomain.com DNS.2=hostname IP.1=192.168.1.10 # 如果有IP访问,需要添加 ``` 4. 使用CA和扩展配置文件生成服务器证书: ```bash openssl x509 -req -sha512 -days 3650 \ -extfile v3.ext \ -CA ca.crt -CAkey ca.key -CAcreateserial \ -in yourdomain.com.csr \ -out yourdomain.com.crt ``` 5. 将生成的服务器证书(`yourdomain.com.crt`)和私钥(`yourdomain.com.key`)部署到Harbor服务器,并配置Harbor使用该证书。 6. 将CA证书(`ca.crt`)复制到Docker客户端所在主机的证书信任目录: ```bash sudo mkdir -p /etc/docker/certs.d/yourdomain.com sudo cp ca.crt /etc/docker/certs.d/yourdomain.com/ca.crt ``` 7. 重启Docker守护进程: ```bash sudo systemctl restart docker ``` ### 解决方案二:临时解决方案(不推荐,仅用于测试环境) 在Docker客户端设置环境变量`GODEBUG=x509ignoreCN=0`,使Go忽略对CN的检查,从而允许使用仅包含CN的证书。 1. 临时设置(仅对当前shell有效): ```bash export GODEBUG=x509ignoreCN=0 docker login yourdomain.com ``` 2. 永久设置(修改Docker服务启动配置): - 编辑Docker服务配置文件(通常为`/etc/systemd/system/docker.service.d/override.conf`,如果没有则创建): ```ini [Service] Environment="GODEBUG=x509ignoreCN=0" ``` - 重新加载配置并重启Docker: ```bash sudo systemctl daemon-reload sudo systemctl restart docker ``` 注意:此方法会降低安全性,因为忽略CN检查可能会使中间人攻击更容易。因此,仅建议在测试环境中使用。 ### 总结 推荐使用解决方案一(重新生成包含SANs的证书)以符合安全标准。如果只是临时测试,可以使用解决方案二。 ### 相关问题 1. 如何为Harbor生成自签名证书? 2. 如何配置Docker客户端信任自签名证书? 3. 除了SANs问题,还有哪些常见的Docker证书错误?</think>### Docker TLS证书验证失败问题分析 您遇到的错误 `x509: certificate relies on legacy Common Name field, use SANs instead` 是由于 Docker 客户端使用的 Go 语言运行时(1.15+ 版本)加强了 TLS 证书验证机制所致。新版本 Go 不再接受仅依赖 `Common Name`(CN)字段的证书,而要求证书必须包含 `Subject Alternative Names`(SANs)扩展字段。 #### 错误原因详解 1. **证书规范变化**: - 旧证书:仅使用 `Common Name` 标识域名(如 `CN=harbor.example.com`) - 新要求:证书必须包含 `SANs` 扩展(如 `DNS:harbor.example.com, IP:192.168.1.100`) - 数学表达:若证书 $C$ 满足 $C_{\text{SANs}} = \emptyset$(SANs 为空),则验证失败 2. **Docker/Go 兼容性**: - Docker 客户端基于 Go 编写,Go 1.15+ 默认禁用 CN 验证 - 错误提示中的 `legacy Common Name field` 明确指出了问题根源 --- ### 解决方案(两种方法) #### ✅ 方法一:重新生成合规证书(推荐) ```bash # 1. 创建证书配置文件(san.cnf) cat > san.cnf <<EOF [req] distinguished_name = req_distinguished_name req_extensions = v3_req prompt = no [req_distinguished_name] C = CN ST = Beijing L = Beijing O = MyOrg OU = DevOps CN = harbor.example.com # 您的仓库域名 [v3_req] keyUsage = keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = harbor.example.com # 必须包含的域名 IP.1 = 192.168.1.100 # 访问仓库的IP(如有) EOF # 2. 生成新证书 openssl req -x509 -sha256 -nodes -days 3650 \ -newkey rsa:2048 -keyout harbor.key -out harbor.crt \ -config san.cnf -extensions 'v3_req' # 3. 将证书部署到Harbor服务器 # (参考Harbor文档更新证书) # 4. 在Docker客户端信任证书 sudo mkdir -p /etc/docker/certs.d/harbor.example.com sudo cp harbor.crt /etc/docker/certs.d/harbor.example.com/ca.crt ``` #### ⚠️ 方法二:临时降级验证(仅测试环境) ```bash # 方案1:单次执行(临时生效) export GODEBUG=x509ignoreCN=0 docker login harbor.example.com # 方案2:修改Docker系统配置(永久生效) sudo mkdir -p /etc/systemd/system/docker.service.d sudo tee /etc/systemd/system/docker.service.d/override.conf <<EOF [Service] Environment="GODEBUG=x509ignoreCN=0" EOF # 重启Docker sudo systemctl daemon-reload sudo systemctl restart docker ``` > **警告**:此方法会降低安全性,不建议在生产环境使用[^1][^2][^3][^4]。 --- ### 验证步骤 1. 检查证书 SANs 字段: ```bash openssl x509 -in harbor.crt -text -noout | grep -A1 "Subject Alternative Name" # 应显示:DNS:harbor.example.com, IP:192.168.1.100 ``` 2. 测试 Docker 连接: ```bash docker login harbor.example.com # 成功提示:Login Succeeded ``` --- ### 相关问题 1. 如何为 Docker 仓库生成多域名 SANs 证书? 2. 除了 SANs 问题,还有哪些常见 Docker 证书错误需要排查? 3. 如何将自签名证书批量部署到 Kubernetes 集群中的节点? > 引用说明: > [^1]: Docker拉取镜像报错解决参考 > [^2]: Docker登录失败x509证书问题参考 > [^3]: Docker连接Harbor报错及解决方案 > [^4]: 私有仓库登录报错排查流程
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值