\'연결 실패: x509: 인증서는 레거시 일반 이름 필드를 사용합니다. SAN을 사용하거나 일시적으로 GODEBUG=x509ignoreCN=0과 일치하는 일반 이름을 활성화합니다\' 오류가 발생합니다.

오류: Go TLS 연결의 인증서 필드 불일치

Go를 사용하여 MongoDB 서버에 TLS 연결을 설정하려고 하면 다음과 같은 문제가 발생할 수 있습니다. 다음 오류:

failed to connect: x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0

원인:

이 오류는 서버의 TLS 인증서가 식별을 위해 기존 CN(일반 이름) 필드에 의존하지만 Go의 경우 런타임은 기본적으로 TLS 연결에 SAN(주체 대체 이름)을 사용합니다.

해결책:

이 문제를 해결하는 데는 두 가지 주요 접근 방식이 있습니다.

1. 서버 인증서에서 SAN 활용:

• 서버에 연결하는 데 사용되는 호스트 이름 또는 IP 주소와 일치하는 SAN으로 서버 인증서를 다시 생성합니다.
• 이는 다음을 사용하여 수행할 수 있습니다. OpenSSL 또는 타사 인증 기관과 같은 도구.

2. 일시적으로 CN 일치 비활성화:

서버 인증서를 즉시 재생성할 수 없는 경우 환경 변수를 설정하여 일시적으로 CN 일치를 비활성화할 수 있습니다:

GODEBUG=x509ignoreCN=0

그러나 이것은 장기적인 해결책이며 일시적으로 연결을 설정하는 데에만 사용해야 합니다.

코드 구현:

Go 코드에서 문제를 해결하기로 선택한 경우 다음을 확인하세요. 로드하는 인증서에는 연결 중에 사용된 호스트 이름과 일치하는 SAN이 포함되어 있습니다. 제공하신 코드 조각의 업데이트된 버전은 다음과 같습니다.

<code class="go">const CONFIG_DB_CA = "/etc/ca-files/new-mongo.ca.crt"

func main() {
    cer, err := tls.LoadX509KeyPair("/mongo-server.crt", "/mongo-server.key")
    if err != nil {
        log.Println(err)
        return
    }

    roots := x509.NewCertPool()
    ca, err := ioutil.ReadFile(CONFIG_DB_CA)
    if err != nil {
        fmt.Printf("Failed to read or open CA File: %s.\n", CONFIG_DB_CA)
        return
    }
    roots.AppendCertsFromPEM(ca)

    tlsConfig := &tls.Config{
        Certificates: []tls.Certificate{cer},
        RootCAs:      roots,
        VerifyPeerCertificate: func(rawCerts [][]*x509.Certificate) error {
            for _, certs := range rawCerts {
                for _, cert := range certs {
                    if len(cert.Subject.CommonName) > 0 {
                        continue
                    }
                    for _, dns := range cert.DNSNames {
                        if dns == "customhost" || dns == "customhost:port" {
                            return nil
                        }
                    }
                    return errors.New("certificate does not contain a SAN for the host")
                }
            }
            return errors.New("no valid certificate found")
        },
    }

    conn, err := tls.Dial("tcp", "customhost:port", tlsConfig)
    if err != nil {
        fmt.Printf("failed to connect: %v.\n", err)
        return
    }

    err = conn.VerifyHostname("customhost")
    if err != nil {
        panic("Hostname doesn't match with certificate: " + err.Error())
    }
    for i, cert := range conn.ConnectionState().PeerCertificates {
        prefix := fmt.Sprintf("CERT%d::", i+1)
        fmt.Printf("%sIssuer: %s\n", prefix, cert.Issuer)
        fmt.Printf("%sExpiry: %v\n", prefix, cert.NotAfter.Format(time.RFC850))
        fmt.Printf("%sDNSNames: %v\n\n", prefix, cert.DNSNames)
    }

    fmt.Printf("Success!")
}</code>

이 업데이트된 코드는 사용자 정의 verifyPeerCertificate 함수를 사용하여 인증서에 호스트 이름과 일치하는 CN 또는 호스트 이름과 일치하는 SAN이 포함되어 있는지 확인합니다. 적합한 인증서를 찾으면 연결이 성공합니다.

위 내용은 \'연결 실패: x509: 인증서는 레거시 일반 이름 필드를 사용합니다. SAN을 사용하거나 일시적으로 GODEBUG=x509ignoreCN=0과 일치하는 일반 이름을 활성화합니다\' 오류가 발생합니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!