OpenSSL Version V3 avec un autre Nom de l'Objet
Je suis en utilisant la ligne de commande OpenSSL outil pour générer un certificat auto-signé. Il semble fonctionner correctement sauf pour les deux questions. Je n'arrive pas à en créer un .cer avec un autre Nom de l'Objet (critique) et je n'ai pas été en mesure de comprendre comment créer un cert qui est de la Version 3 (pas sûr si c'est essentiel, mais encore préfèrent l'apprentissage de la manière de définir la version).
Quelqu'un a fait cela avec succès? La configuration par défaut (.cfg) fichier a apparemment une documentation claire (voir ci-dessous):
" Ce genre de choses est pour subjectAltName et issuerAltname.
Importer l'adresse e-mail.
subjectAltName=e-mail:copie "
Toutefois, cela ne fonctionne pas. Mon intuition est que l'autre Nom de l'objet n'est pas en montrant b/c il n'est pas présent dans la V1, les specs, c'est pourquoi je suis également à la poursuite de réglage de il version.
Voici le fichier de configuration que j'utilise:
[ req ]
default_bits = 2048
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
emailAddress = [email protected]
req_extensions = v3_req
x509_extensions = v3_ca
[req_distinguished_name]
C = [Press Enter to Continue]
C_default = US
C_min = 2
C_max = 2
O = [Press Enter to Continue]
O_default = default
0.OU=[Press Enter to Continue]
0.OU_default = default
1.OU=[Press Enter to Continue]
1.OU_default = PKI
2.OU=[Press Enter to Continue]
2.OU_default = ABCD
commonName = Public FQDN of server
commonName_max = 64
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer:always
subjectAltName = email:[email protected]
issuerAltName = issuer:copy
OriginalL'auteur Kandres22 | 2011-05-31
Vous devez vous connecter pour publier un commentaire.
Voici les étapes simples pour vous
Tout en générant de la RSE, vous devez utiliser la configuration et l'extension de la
et lors de la génération de certificat, vous devez utiliser -extfile et les extensions de
Voici l'exemple
espère que cette aide
OriginalL'auteur Raghu K Nair
Je l'ai eu à travailler avec la version suivante (adresse e-mail est mal placé) :
Notes:
Pour générer le certificat que j'ai utilisé:
issuerAltname
(si vous en avez, je serais intéressé de savoir où).issuer:always
n'est pas recommandé pour lesauthorityKeyIdentifier
.email:copy
fonctionne maintenant avec lessubjectAltName
.v3_req
section est superflu (ainsi quereq_extensions
ligne.OriginalL'auteur Mathias Brossard
Quelle commande avez-vous utilisé pour faire de la RSE demande de certificat? Quelle commande avez-vous utilisé pour faire le fichier de certificat? Des réponses différentes pour différentes circonstances que vous connaissez.
Peut-être que vous ne sont pas de mettre
subjectAltName=e-mail:copie
dans la section
[v3_req]
Peut-être que vous êtes en utilisant openssl x509 pour générer le certificat, si vous devez utiliser
-extfile /etc/pki/tls/openssl.cnf
parce que, sans que cela ne marche utiliser votre fichier de configuration
Vous pourriez aussi avoir
-extensions v3_req
commutateur de ligne de commande
OriginalL'auteur user1844882
Bien, aucune des autres réponses sur cette page qui a travaillé pour moi, et j'ai essayé tous jusqu'au dernier d'entre eux. Ce qui a fonctionné pour moi, c'était un petit truc:
lors de la demande de certificat:
et lors de la signature du cert:
Donc il n'y a pas de confusion, ici est un script qui couvre tout, depuis le début, y compris la création d'une autorité de certification:
On peut alors vérifier que l'autre nom de l'Objet est dans la dernière cert:
La section pertinente est:
Si cela a fonctionné! C'est un cert qui sera accepté par tous les principaux navigateurs (y compris google chrome), aussi longtemps que vous installer le certificat de l'autorité dans le navigateur. C'est ca-cert.crt que vous aurez besoin d'installer.
Voici un exemple de configuration pour ngnx qui vous permettrait d'utiliser le cert:
OriginalL'auteur Jack Davidson
J'ai juste développé un outil web qui va générer cette commande automatiquement en fonction de la forme d'entrée et d'affichage de la sortie. http://kernelmanic.com/certificate-request-generator-with-multiple-common-names-and-subject-alternative-names/
OriginalL'auteur user40662
La
v3_req
est nécessaire à l'entréesubjectAltName
dans le fichier de configuration. La commandeinsérez le SAN dans le certificat.
OriginalL'auteur Dominic
Je sais que ce thread est un peu vieux, mais juste au cas où il fonctionne pour n'importe qui sur windows, vérifiez que le fichier est codé en UTF-8, dans mon cas, je recevais un message d'erreur indiquant il y a une erreur avec le .cnf de fichier, alors je l'ai ouvert sur Notepad++ définir l'encodage du fichier en UTF-8, enregistré, et a couru la commande openssl de nouveau et il a fait le tour.
OriginalL'auteur OscarG