tt CLI (2.10): ssl #5552
Description
Product: tt CLI
Since: tt 2.10.0 - TBD
Dev ticket: TBD
Root document:
SME: @ lastoCHka42 @ georgiy-belyanin
Details
Для того чтобы с централизованным хранилищем конфигурации на базе Тарантул можно было работать, закрыв его сертификатом, есть требование со стороны tt к этим сертификатам. Их надо бы зафиксировать в документации tt.
Георгий Белянин (26.12.2025 14:51):
Привет! Я немного потыкался, короче, дело в том, что Go по-умолчанию верифицирует ключи при помощи SAN, поэтому тот, кто вызывает, должен иметь возможность проверифицировать ключ через SAN, это можно сделать на localhost при помощи явного DNS
cat <<EOF > domains.ext
subjectAltName = @alt_names
[alt_names]
DNS.1 = localhost
IP.1 = 127.0.0.1
EOF
openssl req -x509 -nodes -days 8192 -newkey rsa:2048 -keyout ca.key -out ca.pem
openssl x509 -outform pem -in ca.pem -out ca.crt
openssl req -nodes -newkey rsa:2048 -keyout localhost.key -out localhost.csr
openssl x509 -req -sha256 -days 8192 -in localhost.csr -CA ca.pem -CAkey ca.key -CAcreateserial -extfile domains.ext -out localhost.crt