Comment puis-je générer un certificat auto-signé avec SubjectAltName utilisant OpenSSL?

Je suis en train de générer un certificat auto-signé avec OpenSSL avec SubjectAltName.Alors que je suis de la génération de la rse pour le certificat, je suppose que je dois utiliser v3 extensions de OpenSSL x509.
Je suis à l'aide de :

openssl req -new -x509 -v3 -key private.key -out certificate.pem -days 730

Quelqu'un peut m'aider avec la syntaxe exacte?

Voir aussi Comment faire pour créer un certificat auto-signé, avec openssl? Il fournit de l'information pour créer un certificat avec l'autre Nom d'Objet, et vous dit à d'autres règles qui s'appliquent, de sorte que le certificat aura le plus de chance de succès avec les navigateurs et autres agents utilisateurs.

OriginalL'auteur mohanjot | 2014-01-31

  1. 143

    Quelqu'un peut m'aider avec la syntaxe exacte?

    Ses un processus en trois étapes, et il implique la modification de openssl.cnf fichier. Vous pourriez être en mesure de le faire avec seulement les options de ligne de commande, mais je ne suis pas le faire de cette façon.

    Trouver votre openssl.cnf fichier. C'est probablement situé dans /usr/lib/ssl/openssl.cnf:

    $ find /usr/lib -name openssl.cnf
/usr/lib/openssl.cnf
/usr/lib/openssh/openssl.cnf
/usr/lib/ssl/openssl.cnf

    Sur mon système Debian, /usr/lib/ssl/openssl.cnf est utilisé par le haut- openssl programme. Sur les récentes sur les systèmes Debian, il est situé à /etc/ssl/openssl.cnf

    Vous pouvez déterminer qui openssl.cnf est utilisé par l'ajout d'une fausse XXX pour le fichier et voir si openssl étouffe.

    Tout d'abord, modifier la req paramètres. Ajouter un alternate_names section de openssl.cnf avec les noms que vous souhaitez utiliser. Il n'existe pas de alternate_names sections, de sorte qu'il n'importe pas où vous l'ajouter.

    [ alternate_names ]

DNS.1        = example.com
DNS.2        = www.example.com
DNS.3        = mail.example.com
DNS.4        = ftp.example.com

    Ensuite, ajoutez les lignes suivantes à la existant [ v3_ca ] section. Recherche la chaîne de caractères exacte [ v3_ca ]:

    subjectAltName      = @alternate_names

    Vous pouvez modifier keyUsage à la suivante en vertu de [ v3_ca ]:

    keyUsage = digitalSignature, keyEncipherment

    digitalSignature et keyEncipherment sont standard faire pour un certificat de serveur. Ne vous inquiétez pas à propos de nonRepudiation. Son un peu inutile pensée par comp sci gars qui voulait être avocat. Ça ne veut rien dire dans le monde juridique.

    En fin de compte, l'IETF (RFC 5280), les Navigateurs et les CAs courir vite et lâche, de sorte qu'il n'a probablement pas d'importance ce que la clé de l'utilisation que vous fournissez.

    Deuxième, de modifier les paramètres de signature. Trouver cette ligne sous la CA_default section:

    # Extension copying option: use with caution.
# copy_extensions = copy

    Et à le modifier:

    # Extension copying option: use with caution.
copy_extensions = copy

    Cela garantit la SANs sont copiés dans le certificat. Les autres manières de copier les noms dns sont cassés.

    Troisième, de générer votre auto-signé:

    $ openssl genrsa -out private.key 3072
$ openssl req -new -x509 -key private.key -sha256 -out certificate.pem -days 730
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
...

    Enfin, examiner le certificat:

    $ openssl x509 -in certificate.pem -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 9647297427330319047 (0x85e215e5869042c7)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=MD, L=Baltimore, O=Test CA, Limited, CN=Test CA/[email protected]
        Validity
            Not Before: Feb  1 05:23:05 2014 GMT
            Not After : Feb  1 05:23:05 2016 GMT
        Subject: C=US, ST=MD, L=Baltimore, O=Test CA, Limited, CN=Test CA/[email protected]
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (3072 bit)
                Modulus:
                    00:e2:e9:0e:9a:b8:52:d4:91:cf:ed:33:53:8e:35:
                    ...
                    d6:7d:ed:67:44:c3:65:38:5d:6c:94:e5:98:ab:8c:
                    72:1c:45:92:2c:88:a9:be:0b:f9
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                34:66:39:7C:EC:8B:70:80:9E:6F:95:89:DB:B5:B9:B8:D8:F8:AF:A4
            X509v3 Authority Key Identifier: 
                keyid:34:66:39:7C:EC:8B:70:80:9E:6F:95:89:DB:B5:B9:B8:D8:F8:AF:A4

            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment, Certificate Sign
            X509v3 Subject Alternative Name: 
                DNS:example.com, DNS:www.example.com, DNS:mail.example.com, DNS:ftp.example.com
    Signature Algorithm: sha256WithRSAEncryption
         3b:28:fc:e3:b5:43:5a:d2:a0:b8:01:9b:fa:26:47:8e:5c:b7:
         ...
         71:21:b9:1f:fa:30:19:8b:be:d2:19:5a:84:6c:81:82:95:ef:
         8b:0a:bd:65:03:d1
    Je viens de copier que openssl fichier et ajusté localement. Ensuite généré le tout avec de l': openssl genrsa -out cert.key 3072 -nodes openssl req -new -x509 -key cert.key -sha256 -config openssl.cnf -out cert.crt -days 730 -subj "/C=US/ST=private/L=province/O=city/CN=hostname.example.com"
    Il y a aussi une belle astuce pour le rendre plus flexible à l'aide de variables d'environnement décrites ici: subjectAltName=$ENV::ALTNAME (et de l'ensemble de l'env. var ALTNAME=DNS:example.com,DNS:other.example.net).
    Notez que vous utilisez IP au lieu de DNS pour alternate_names si vous travaillez avec une adresse ip. Vous pouvez également copier le fichier de configuration en local, puis de le spécifier sur la ligne de commande openssl avec -config my_config.cnf. Et vous pourriez avoir à décommenter req_extensions = v3_req.
    Je n'ai jamais eu que cela fonctionne sur OSX, mais à l'aide de la req.conf de modèle à ce lien a fonctionné comme un charme: support.citrix.com/article/CTX135602 (j'avais extrait les détails dans une réponse, mais cette question a été unhelpfully fermé)
    pour une raison quelconque, il n'aime pas le subjectAltName = @alternate_names sous v3_ca section. Pourrait-il être une faute de frappe? Voici l'erreur que j'obtiens: erreur:22097069:X509 V3 routines:DO_EXT_NCONF:invalid chaîne d'extension:v3_conf.c:139:nom=subjectAltName,section=@alternate_names 140487468840608:erreur:22098080:X509 V3 routines:X509V3_EXT_nconf:erreur dans l'extension:v3_conf.c:93:nom=subjectAltName, valeur=@alternate_names

    OriginalL'auteur jww