Должно ли альтернативное имя субъекта отображаться утилитой openssl?
Мне удалось обойти эту проблему, запустив sudo cp /usr/local/lib/libmpv*.so /usr/lib32
ldd plexmediaplayer показал то же самое, и, несмотря на наличие библиотек, они не работали.
Что касается сертификатов, сгенерированных pfSense, я недавно имел дело с ними и отказался используя их в контексте VPN-сервера.
Обычно при подписании сертификатов VPN я использую следующие дополнительные атрибуты:
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
subjectAltName = DNS:youralternanetname.uk, IP:193.x.x.x, DNS:193.x.x.x
nsCertType = server
extendedKeyUsage = serverAuth, 1.3.6.1.5.5.8.2.2
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
Похоже, клиентам Windows необходимо видеть IP-адрес вашего VPN-сервера в сертификате.
Вам также необходимо добавить в запрос CSR командной строки openssl параметр: -extensions v3_req , иначе он не будет отображаться в -noout , потому что, вероятно, его там нет. .
Что касается загрузки сертификатов в pfSense, я делаю:
System-> Cert. Менеджер-> Сертификаты -> + Добавить-> Важно существующий сертификат. Остерегайтесь того, что фактический сертификат там должен содержать всю цепочку сертификатов X.509.