OpenSSL Version V3 avec un autre Nom de l'Objet

Je suis en utilisant la ligne de commande OpenSSL outil pour générer un certificat auto-signé. Il semble fonctionner correctement sauf pour les deux questions. Je n'arrive pas à en créer un .cer avec un autre Nom de l'Objet (critique) et je n'ai pas été en mesure de comprendre comment créer un cert qui est de la Version 3 (pas sûr si c'est essentiel, mais encore préfèrent l'apprentissage de la manière de définir la version).

Quelqu'un a fait cela avec succès? La configuration par défaut (.cfg) fichier a apparemment une documentation claire (voir ci-dessous):

" Ce genre de choses est pour subjectAltName et issuerAltname.
Importer l'adresse e-mail.
subjectAltName=e-mail:copie "

Toutefois, cela ne fonctionne pas. Mon intuition est que l'autre Nom de l'objet n'est pas en montrant b/c il n'est pas présent dans la V1, les specs, c'est pourquoi je suis également à la poursuite de réglage de il version.

Voici le fichier de configuration que j'utilise:

[ req ]
default_bits        = 2048 
default_keyfile     = privkey.pem 
distinguished_name  = req_distinguished_name
emailAddress        = [email protected]
req_extensions          = v3_req
x509_extensions         = v3_ca

[req_distinguished_name]
C = [Press Enter to Continue]
C_default = US 
C_min = 2 
C_max = 2 

O = [Press Enter to Continue]
O_default = default 

0.OU=[Press Enter to Continue]
0.OU_default = default 
1.OU=[Press Enter to Continue]
1.OU_default = PKI 
2.OU=[Press Enter to Continue] 
2.OU_default = ABCD
commonName = Public FQDN of server 
commonName_max = 64

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment

[ v3_ca ]
subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid:always,issuer:always
subjectAltName         = email:[email protected]
issuerAltName          = issuer:copy
Pensé qu'elle pourrait aider à poster le fichier de config, je travaille avec:

OriginalL'auteur Kandres22 | 2011-05-31

  1. 10

    Voici les étapes simples pour vous

    Tout en générant de la RSE, vous devez utiliser la configuration et l'extension de la
    et lors de la génération de certificat, vous devez utiliser -extfile et les extensions de

    Voici l'exemple 

    openssl req -new -nodes -keyout test.key  -out test.csr -days 3650 -subj "/C=US/ST=SCA/L=SCA/O=Oracle/OU=Java/CN=test cert" -config /etc/pki/tls/openssl.cnf -extensions v3_req
openssl x509 -req -days 3650 -in test.csr -CA cacert.pem -CAkey rootCA.key -CAcreateserial -out test.pem -extfile /etc/pki/tls/openssl.cnf  -extensions v3_req

    espère que cette aide

    OriginalL'auteur Raghu K Nair

  2. 8

    Je l'ai eu à travailler avec la version suivante (adresse e-mail est mal placé) :

    [ req ]
default_bits        = 2048 
default_keyfile     = privkey.pem 
distinguished_name  = req_distinguished_name
req_extensions          = v3_req
x509_extensions         = v3_ca

[req_distinguished_name]
C = [Press Enter to Continue]
C_default = US 
C_min = 2 
C_max = 2 

O = [Press Enter to Continue]
O_default = default 

0.OU=[Press Enter to Continue]
0.OU_default = default 
1.OU=[Press Enter to Continue]
1.OU_default = PKI 
2.OU=[Press Enter to Continue] 
2.OU_default = ABCD
commonName = Public FQDN of server 
commonName_max = 64
emailAddress = [Press Enter to Continue] 
emailAddress_default = [email protected]

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment

[ v3_ca ]
subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid:always,issuer:always
subjectAltName         = email:[email protected]
issuerAltName          = issuer:copy

    Notes:

    • Pour générer le certificat que j'ai utilisé:

      openssl req -config req.cnf -new -nodes -out req.pem -x509
    • Je n'ai pas vu beaucoup d'utilisation pour issuerAltname (si vous en avez, je serais intéressé de savoir où).
    • À l'aide de issuer:always n'est pas recommandé pour les authorityKeyIdentifier.
    • À l'aide de email:copy fonctionne maintenant avec les subjectAltName.
    • v3_req section est superflu (ainsi que req_extensions ligne.

    OriginalL'auteur Mathias Brossard

  3. 3

    Quelle commande avez-vous utilisé pour faire de la RSE demande de certificat? Quelle commande avez-vous utilisé pour faire le fichier de certificat? Des réponses différentes pour différentes circonstances que vous connaissez.

    Peut-être que vous ne sont pas de mettre

    subjectAltName=e-mail:copie

    dans la section

    [v3_req]

    Peut-être que vous êtes en utilisant openssl x509 pour générer le certificat, si vous devez utiliser

    -extfile /etc/pki/tls/openssl.cnf

    parce que, sans que cela ne marche utiliser votre fichier de configuration

    Vous pourriez aussi avoir

    -extensions v3_req

    commutateur de ligne de commande

    OriginalL'auteur user1844882

  4. 1

    Bien, aucune des autres réponses sur cette page qui a travaillé pour moi, et j'ai essayé tous jusqu'au dernier d'entre eux. Ce qui a fonctionné pour moi, c'était un petit truc:

    lors de la demande de certificat:

    -config '<(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:$SERVER"))' 
-reqexts SAN

    et lors de la signature du cert:

    -extfile '<(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:$SERVER"))' 
-extensions SAN

    Donc il n'y a pas de confusion, ici est un script qui couvre tout, depuis le début, y compris la création d'une autorité de certification:

    # if the server name is undefined, lets default to 'Some-Server'
SERVER="${SERVER:-Some-Server}"

CORPORATION=My-Corp
GROUP=My-Corporate-Group
CITY=City
STATE=State
COUNTRY=US

CERT_AUTH_PASS=`openssl rand -base64 32`
echo $CERT_AUTH_PASS > cert_auth_password
CERT_AUTH_PASS=`cat cert_auth_password`

# create the certificate authority
openssl \
  req \
  -subj "/CN=$SERVER.ca/OU=$GROUP/O=$CORPORATION/L=$CITY/ST=$STATE/C=$COUNTRY" \
  -new \
  -x509 \
  -passout pass:$CERT_AUTH_PASS \
  -keyout ca-cert.key \
  -out ca-cert.crt \
  -days 36500

# create client private key (used to decrypt the cert we get from the CA)
openssl genrsa -out $SERVER.key

# create the CSR(Certitificate Signing Request)
openssl \
  req \
  -new \
  -nodes \
  -subj "/CN=$SERVER/OU=$GROUP/O=$CORPORATION/L=$CITY/ST=$STATE/C=$COUNTRY" \
  -sha256 \
  -extensions v3_req \
  -reqexts SAN \
  -key $SERVER.key \
  -out $SERVER.csr \
  -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:$SERVER")) \
  -days 36500

# sign the certificate with the certificate authority
openssl \
  x509 \
  -req \
  -days 36500 \
  -in $SERVER.csr \
  -CA ca-cert.crt \
  -CAkey ca-cert.key \
  -CAcreateserial \
  -out $SERVER.crt \
  -extfile <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:$SERVER")) \
  -extensions SAN \
  -passin pass:$CERT_AUTH_PASS

    On peut alors vérifier que l'autre nom de l'Objet est dans la dernière cert:

    openssl x509 -in Some-Server.crt -text -noout

    La section pertinente est:

        X509v3 extensions:
        X509v3 Subject Alternative Name: 
            DNS:Some-Server

    Si cela a fonctionné! C'est un cert qui sera accepté par tous les principaux navigateurs (y compris google chrome), aussi longtemps que vous installer le certificat de l'autorité dans le navigateur. C'est ca-cert.crt que vous aurez besoin d'installer.

    Voici un exemple de configuration pour ngnx qui vous permettrait d'utiliser le cert:

    server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name  localhost:443;

    ssl_certificate /etc/ssl/certs/Some-Server.crt;
    ssl_certificate_key /etc/ssl/private/Some-Server.key;
    ssl_dhparam /etc/ssl/certs/https-dhparam.pem;

    location /{
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

    OriginalL'auteur Jack Davidson

  5. 0

    J'ai juste développé un outil web qui va générer cette commande automatiquement en fonction de la forme d'entrée et d'affichage de la sortie. http://kernelmanic.com/certificate-request-generator-with-multiple-common-names-and-subject-alternative-names/

    OriginalL'auteur user40662

  6. 0

    La v3_req est nécessaire à l'entrée subjectAltName dans le fichier de configuration. La commande 

    openssl x509 ... -extfile openssl.cnf -extensions v3_req

    insérez le SAN dans le certificat.

    OriginalL'auteur Dominic

  7. 0

    Je sais que ce thread est un peu vieux, mais juste au cas où il fonctionne pour n'importe qui sur windows, vérifiez que le fichier est codé en UTF-8, dans mon cas, je recevais un message d'erreur indiquant il y a une erreur avec le .cnf de fichier, alors je l'ai ouvert sur Notepad++ définir l'encodage du fichier en UTF-8, enregistré, et a couru la commande openssl de nouveau et il a fait le tour.

    OriginalL'auteur OscarG