Openssl cli'sunda topicAltName'i nasıl belirlerim?

9

Kendinden imzalı bir SSL sertifikası oluşturuyorum:

$ openssl req -x509 -newkey rsa:2048 -subj 'CN=example.com'

Oluşturma zamanında bir topicAltName de belirtmek istiyorum , ancak bunun nasıl yapılacağı hakkında openssl kılavuzunda bilgi bulamıyorum.

nginx  ssl  openssl 
Travis J Webb
kaynak
2
Komut satırı anahtarı yok. Bir yapılandırma dosyasına yazmanız ve ardından bu yapılandırma dosyasını kullanmanız gerekir.
Steffen Ullrich

Yanıtlar:

4

SubjectAltName'i geçici bir dosyaya yazmaya çalışın (buna hostextfile adını vereceğim )

basicConstraints=CA:FALSE
extendedKeyUsage=serverAuth
subjectAltName=email:my@other.address,RID:1.2.3.4

ve "-extfile" seçeneği ile openssl komutunda buna bağlanır, örneğin:

openssl ca -days 730 -in hostreq.pem -out -hostcert.pem -extfile hostextfile
Viktor
kaynak
1
Bunun doğru olduğuna inanıyorum. X509v3 Konu Alternatif Adı: DNS: kb.example.com, DNS: helpdesk.example.com
quadruplebucky
Bu açıklamayı kullandım .
Viktor
3

opensslKomut ilk olarak bir yapılandırma dosyası yazmadan SubjectAltName gibi uzantıları dahil etmenin bir yolunu sağlamaz. Hepsini otomatik olarak yapan basit bir yardımcı program yazdım. Github'da mevcut: https://github.com/rtts/certify

Örnek kullanım:

./certify example.com www.example.com mail.example.com

Bu example.com.crt, example.com, www.example.com ve mail.example.com'un Konu Alternatif Adlarına sahip bir sertifika içeren bir dosya oluşturur .

hedgie
kaynak
0

SubjectAltName ile kendinden imzalı sertifika oluşturma

cd /etc/ssl

cat > my.conf <<- "EOF"
[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C=UA
ST=Dnepropetrovskaya
L=Kamyanske
O=DMK
OU=OASUP
emailAddress=webmaster@localhost
CN = www.dmkd.dp.ua

[ req_ext ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[ alt_names ]
DNS.0 = www.dmkd.dp.ua
DNS.1 = dmkd.dp.ua

EOF

# Create key
openssl genrsa -des3 -out server.key.secure 2048
# Disable secret phrase for key
openssl rsa -in server.key.secure -out server.insecure.key
# Create request certificate file with params from file my.conf
openssl req -new -key server.insecure.key -out server.csr -config my.conf
# Create certificate with params from file my.conf
openssl x509 -req -days 365 -in server.csr -signkey server.insecure.key -out server.crt -extensions req_ext -extfile my.conf
# Check request file and certificate for SubjectAltName precense
openssl req -text -noout -in server.csr
openssl x509 -in server.crt -text -noout
venoel
kaynak
0

Burada bilgi kullandım, ancak sadece tarayıcıyı tatmin etmek için gerekli bilgilere inceledim.

x509 v3 uzantıları seçenek dosyası:

echo "subjectAltName = @alt_names

[alt_names]
DNS.1 = www.example.com" > v3.ext

Harici Anahtar Dosyası:

openssl genrsa -out www.example.com.key 2048

CA İmzalama İsteği: (CA anahtarınız ve sertifikanız olduğunu varsayar)

openssl req -new -key www.example.com.key -subj "/CN=www.example.com" -out www.example.com.csr

Sertifikayı oluşturma isteğini imzalayın ve x509 Uzantı verilerini ekleyin:

openssl x509 -req -in www.example.com.csr -CA ca.example.com.crt -CAkey ca.example.com.key -CAcreateserial -out www.example.com.crt -days 500 -sha256 -extfile v3.ext
barrypicker
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.