OpenSSL ca kończy się niepowodzeniem po podaniu hasła bez komunikatu o błędzie

1

Próbuję użyć głównego urzędu certyfikacji do podpisania CSR dla certyfikatu pośredniego, a OpenSSL pyta o moje hasło, a potem nic się nie dzieje. Brak komunikatu o błędzie i brak certyfikatów. Polecenie, na które nie działa, to:

openssl ca -config rootca.cnf -extensions v3_intermediate_ca ^
  -days 730 -notext -md sha256 ^
  -in C:/Certificates/IntermediateCA/csr/intermediate.csr.pem ^
  -out C:/Certificates/IntermediateCA/public/intermediate.cert.pem

openssl odpowiada:

Enter pass phrase for C:/Certificates/RootCA/private/rootca.key.pem:

a kiedy wprowadzę hasło, nic się nie dzieje po tym.

Dobra odpowiedź na to pytanie miałaby dwie części:

  1. Co ja robię źle?
  2. Jak mogę uzyskać dane wyjściowe błędu w tym problemie?

Dodatkowe Szczegóły

Nie jestem pewien, czy jest to konieczne, ale oto kilka dodatkowych poleceń, których używam do wygenerowania reszty Pośredniego CA:

Tworzenie klucza prywatnego CA pośredniego:

openssl genrsa -aes256 -out private/intermediate.key.pem 4096

Tworzenie pośredniej CSR:

openssl req -config intermediateca.cnf -new -sha256 ^
  -key private/intermediate.key.pem ^
  -out csr/intermediate.csr.pem

rootca.cnf (ważne części):

[ CA_default ]
dir = C:/Certificates/RootCA
...
[ policy_strict ]
countryName             = match
stateOrProvinceName     = match
localityName            = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional
...
[ req_distinguished_name ]
0.organizationName_default = org1
1.organizationName_default = org1.1
...
[ v3_intermediate_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
Kyle B
źródło
Czy możesz uzyskać dostęp do katalogu C:/Certificates/RootCA/private? Czy możesz przeczytać plik C:/Certificates/RootCA/private/rootca.key.pem z użytkownikiem, z którym uruchamiasz openssl? Ostatni pomysł, czy hasło jest poprawne (czy nie ma żadnych znaków specjalnych?)
tukan
Tak, możesz przeczytać wszystkie pliki, użyłem czeku OpenSSL, aby potwierdzić poprawność klucza prywatnego (za pomocą hasła)
Kyle B
Czy możesz to sprawdzić za pomocą explorer procesu lub procmon (oba z Sysinternals), aby sprawdzić, czy plik rootca.key.pem jest dostępne / czytane. Drugą rzeczą, która przychodzi mi do głowy, jest to, że plik może mieć różne kończące się linie - & gt; windows (EOL - & gt; crlf) vs. linux (lf).
tukan