Chcę skonfigurować OpenSSL w taki sposób, aby podczas uruchamiania openssl req -new
generował nowe żądanie podpisania certyfikatu, monitowano mnie o podanie alternatywnych nazw podmiotów w CSR.
Dodałem tę linię do [req_attributes]
mojej sekcji openssl.cnf
:
subjectAltName = Alternative subject names
Ma to pożądany efekt, który podczas generowania CSR jest monitowany o SAN:
$ openssl req -new -out test.csr -key ./test.key <<<
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [New York]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Example Co]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:test.example.com
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Alternative subject names []:DNS:alt1.example.com
W powyższym przykładzie wprowadziłem DNS:alt1.example.com
po wyświetleniu monitu o SAN.
Problem polega na tym, że wynikowy CSR nie wydaje się być dobrze sformatowany:
$ openssl req -text -in ./test.csr
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, ST=New York, O=The Banes, CN=test.thebanes.org
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
[...]
Exponent: 65537 (0x10001)
Attributes:
X509v3 Subject Alternative Name:unable to print attribute
OpenSSL skarży się, że nie jest w stanie wydrukować wartości atrybutu Alternatywna nazwa podmiotu. Z przykładów online (gdzie ludzie zapisują SAN na stałe w pliku openssl.cnf, zamiast pytać o nie interaktywnie, jak chcę), spodziewam się tego:
Attributes:
X509v3 Subject Alternative Name:
DNS:alt1.example.com
Więc jak mogę wygenerować dobrze sformułowany CSR z interaktywnymi podpowiedziami SAN?
źródło
openssl
- potrzebujesz skryptu, który zmieni w tym celu jego plik konfiguracyjny. :( PS Sprawdzone rozwiązanie pozwalające to robić w sposób nieinteraktywny: stackoverflow.com/a/9158662/2693875Odpowiedzi:
Sam walczyłem z tym małym samorodkiem ... co za PITA!
Moje rozwiązanie: przeniosłem cały plik openssl.cnf do pliku szablonu Toolkit, pozostawiając tylko kawałek sans jako element zastępczy, a następnie owinąłem wokół niego skrypt perla.
Skrypt perla monituje o wpisy SAN, następnie wstawia je do szablonu, zapisuje szablon do pliku tymczasowego, a następnie wywołuję openssl req z opcją -config wskazaną na plik tymczasowy. odrzuć plik tymczasowy po wygenerowaniu CSR.
Możesz także zajrzeć na: http://www.openssl.org/docs/apps/config.html
Są inni, którzy nadpisują $ ENV tuż przed wykonaniem i zawijają wezwanie do openssl req w perlu lub powłoce i osiągają to samo w nieco bardziej wydajny sposób: http://blog.loftninjas.org/2008/11/11/ konfigurowanie-ssl-request-with-subjectaltname-with-openssl /
źródło
Szukam również rozwiązania. I właśnie tego chcesz:
Możesz to uzyskać, pytając o alternatywne nazwy tematów :)
źródło
DNS:my.dns.com, DNS:my.otherdns.org
openssl
wtf ! Musisz także podać SAN wCA
poleceniu jako-extensions <string>
, lub-extfile <file>
. mta.openssl.org/pipermail/openssl-users/2016-Tego „subjectAltName” nie powinno być w tej sekcji: atrybuty = atrybuty_wymagane. Ale w sekcji dla req_extensions = (nazwij to jak chcesz).
I nie ma potrzeby wszystkich BS
Po prostu wpisz, ile chcesz, ile chcesz:
(Ostatni umożliwia dostęp wewnętrzny jak „ https://192.168.1.2 ” bez ostrzeżenia)
Więc coś takiego:
Twoje zdrowie!
źródło