Java 1.7 keytool yardımcı programını kullanarak Konu Alternatif Adı ile sertifika oluşturulamıyor

13

keytoolJava 1.7 Java yardımcı programını kullanarak konu alternatif adı ile bir anahtar çifti oluşturma sorunu yaşıyorum . Burada bulunan talimatları izlemeye çalışıyorum .

Kullandığım komutun bir örneği aşağıdaki gibidir (bu örnek test edilmiştir):

keytool -keystore c:\temp\keystore.jks -storepass changeme -keypass changeme -alias spam -genkeypair -keysize 2048 -keyalg RSA -dname "CN=spam.example.com, OU=Spam NA, O=Spam Inc, L=Anywhere, S=State, C=US" -ext san=dns:spam,ip:192.168.0.1

Sonra aşağıdaki komutu kullanarak KSS oluşturun:

keytool -keystore c:\temp\keystore.jks -storepass changeme -alias spam -certreq -file c:\temp\spam.csr

Aşağıdaki sertifika isteğini oluşturur:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

SSL Shopper'da CSR Decoder'ı kullanarak CSR'yi incelediğimde , belirtilen SAN'ı içerdiğini göstermez. Bu sertifika ortamımızda dahili kullanım içindir ve SAN gereklidir; çünkü kullanıcılar siteye FQDN, yalnızca sunucu adı veya IP adresi kullanarak erişiyor olabilir.

Ben, arıza tespiti devam ediyorum, ama değilim o ben bir kayıp değilim bu yüzden, certs deneyimli ve çevremizde diğer birçok millet kullanmayan keytoolkendi certs üretmek için.

Düşünceler? Alternatifler? Kesinlikle bir noktada bir Java anahtar deposuna alabilirsiniz sürece anahtar & CSR oluşturmak için farklı bir yöntem kullanmaya hazırım.

ssl  keytool  certificate 
Doug R.
kaynak
"CN = spam.example.com" - CN'ye bir DNS adı yerleştirmek hem IETF hem de CA / Tarayıcı Forumları tarafından kullanımdan kaldırılır. Bunun yerine, CN'ye "Spam Inc" gibi kolay bir ad yazın. Tüm DNS adlarını SAN'a koyun.

Yanıtlar:

13

Sen geçmesi gerekiyor -extyanı ikinci komuta bayrak:

$ keytool -keystore keystore.jks -storepass changeme -alias spam -certreq -ext san=dns:spam,ip:192.168.0.1 -file spam.csr

Sonra sertifika alt adını içerir:

$ openssl x509 -noout -text -in spam.csr | grep -A2 "Requested Extensions"
        Requested Extensions:
            X509v3 Subject Alternative Name:
                DNS:spam, IP Address:192.168.0.1
Davud
kaynak
1
Teşekkür ederim. Ben sadece bir gecede (yerel birinden biraz yardım ile) anladım posta için giriş yapıyordum. Bunun nedenini anlamamı diliyorum , çünkü keytooldokümanlar (en azından bana göre) bunun gerekli olduğunu söylemiyorlar. Ama en azından birlikte yaşayabileceğim bir cevap ve tamamen aklımdan çıkmayacağımı biliyorum. Teşekkürler.
Doug R.
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.