Comment spécifier le mot de passe de clé privée du CA pour le client, de la création de certificat avec OpenSSL

Je construis un script de ligne de commande pour créer un certificat du client à l'aide d'OpenSSL "mini-CA".

J'ai un certificat d'autorité de certification et clé privée de CA crypté avec un mot de passe. Avec ces choses que je suis en train de créer le certificat du client et je suis tombé sur la syntaxe de ligne de commande. Comment puis-je spécifier le mot de passe pour le CA de la clé privée?

Jusqu'à présent, j'ai ...

openssl x509
  -req
  -in client.csr
  -signkey client.key
  -passin pass:clientPK
  -CA client-ca.crt
  -CAkey client-ca.key 
  -CAkeypassin pass:client-caPK <-- does not work
  -CAcreateserial
  -out client.crt
  -days 365

Voir le paramètre mis en évidence. Je m'attends à quelque chose comme ça, mais je ne peux pas le trouver n'importe où dans les docs.

Corrigé

Juste pour les enregistrements. Le -signkey paramètre est utilisé pour les certificats auto-signés. CA n'avez pas accès au client la clé privée et donc de ne pas utiliser ce. Au lieu de la -passin paramètre se réfère à l'autorité de certification de la clé privée.

openssl x509
  -req
  -in client.csr
  -CA client-ca.crt
  -CAkey client-ca.key 
  -passin pass:CAPKPassword
  -CAcreateserial
  -out client.crt
  -days 365

Stack Overflow est un site pour la programmation et les questions de développement. Cette question semble être hors-sujet, car il n'est pas sur la programmation ou le développement. Voir Quels sont les sujets que pouvez-vous nous parler ici dans le Centre d'Aide. Peut-être Super-Utilisateur ou Unix & Linux Stack Exchange serait un meilleur endroit pour demander cela. Voir aussi Où dois-je poster des questions à propos de Dev Ops?.
Yep... a Voté la fermeture et de migrer vers des super-Utilisateur.

OriginalL'auteur Dio F | 2015-05-24

ca command-line openssl x509

10

Utilisation -passin pass comme indiqué ci-dessous.
```
 openssl x509
      -req
      -in client.csr
      -signkey client.key
      -passin pass:clientPK
      -CA client-ca.crt
      -CAkey client-ca.key 
      -passin pass:secret <-- try this
      -CAcreateserial
      -out client.crt
      -days 365
```
Vous êtes de droite. J'ai fait une erreur en ajoutant le -signkey paramètre et donc le mot de passe qui est déjà en cours il y a marqué avec -passin paramètre désigne le client de la clé privée, qui n'est en fait pas disponible pour le CA.
quelle est la signification de chaque partie de "passin" paramètre ? Qu'est-ce que "réussir", et ce qui est "secret" ?
Verbatim "réussite" signifie que le mot de passe est donné en ligne de commande et le secret devrait être substitué par un mot de passe. Il y a des options pour la fourniture de mot de passe avec " fichier/fd, voir man openssl pour plus de détails.

OriginalL'auteur Prabhu

Vous devez vous connecter pour publier un commentaire.