我希望配置 OpenSSL,以便在运行openssl req -new
生成新的证书签名请求时,系统会提示我输入要在 CSR 中包含的任何其他主题名称。
我已将这一行添加到[req_attributes]
我的部分openssl.cnf
:
subjectAltName = Alternative subject names
这达到了预期的效果,现在我在生成 CSR 时会提示输入 SAN:
$ openssl req -new -out test.csr -key ./test.key <<<
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [New York]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Example Co]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:test.example.com
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Alternative subject names []:DNS:alt1.example.com
在上面的例子中,DNS:alt1.example.com
当提示输入 SAN 时我已输入。
问题是生成的 CSR 格式看起来不太好:
$ openssl req -text -in ./test.csr
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, ST=New York, O=The Banes, CN=test.thebanes.org
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
[...]
Exponent: 65537 (0x10001)
Attributes:
X509v3 Subject Alternative Name:unable to print attribute
OpenSSL 抱怨无法打印“主题备用名称”属性的值。从网上的示例(人们将 SAN 硬编码到他们的 openssl.cnf 中,而不是像我希望的那样以交互方式提示输入),我期望看到以下内容:
Attributes:
X509v3 Subject Alternative Name:
DNS:alt1.example.com
那么,如何使用交互式提示的 SAN 生成格式良好的 CSR?
答案1
我自己也曾与这个小问题斗争过......真是太麻烦了!
我的解决方案:我将整个 openssl.cnf 文件移到模板工具包文件中,仅留下无部分作为替换部分,然后将其包装在一个 perl 脚本中。
perl 脚本提示输入 SAN 条目,然后将它们插入模板,将模板保存到临时文件,然后我使用指向临时文件的 -config 选项调用 openssl req。在生成 CSR 后丢弃临时文件。
您可能还想看看: http://www.openssl.org/docs/apps/config.html
其他人在执行之前覆盖 $ENV 并在 perl 或 shell 中包装对 openssl req 的调用,并以稍微更有效的方式完成相同的事情: http://blog.loftninjas.org/2008/11/11/configuring-ssl-requests-with-subjectaltname-with-openssl/
答案2
我也在寻找解决方案。这就是你想要的:
[req]
default_bits = 2048
default_key_file = private.key.pem
...
...
attributes = req_attributes
[req_attributes]
subjectAltName = Alternative DNS names, Email adresses or IPs (comma seperated list)
#optional default value
subjectAltName_default = DNS:myhost.com.au,IP:127.0.0.1,EMAIL:[email protected]
您可以通过提示输入备用主题名称来获取此信息:)
#openssl req -in mytest1/temp.csr.pem -noout -text
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=DE, ST=Sachsen, L=Heidenau, O=IT Rab\xC3\xB6se, OU=ssl
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:d8:cd:14:ca:d0:06:6c:8c:11:e9:52:bc:46:39:
c1:cf:5a:6e:dd:3b:a8:85:15:6b:13:82:82:4a:48:
cb:53:ea:70:ea:f4:02:b2:ef:b1:41:b2:d7:11:c7:
11:ba:07:1b:be:8c:30:bc:60:d2:82:83:a1:e1:19:
75:3b:69:03:01:3c:2b:7b:85:f4:2e:a9:58:68:8f:
0e:f4:5e:50:e1:3f:9e:cf:46:a0:eb:69:aa:1e:cb:
3a:99:cb:1d:93:60:d0:3b:38:96:87:45:19:51:f4:
40:72:e5:a7:5e:62:37:41:44:48:64:47:95:14:97:
4f:27:d0:0c:e7:6f:c1:e1:37
Exponent: 65537 (0x10001)
Attributes:
X509v3 Subject Alternative Name:DNS:www.google.de,EMAIL:[email protected]
Signature Algorithm: sha1WithRSAEncryption
9d:2b:e4:eb:1b:c0:b6:0b:b4:62:a7:4d:01:68:98:68:36:98:
1e:e9:bc:59:24:0f:1b:32:7b:da:9d:39:a4:0f:2c:70:3e:aa:
f7:07:e7:6b:9b:3b:00:b3:71:e0:54:07:78:c7:6e:57:e3:89:
07:e1:93:f1:77:e7:cc:0e:d0:ed:c5:d0:a3:5d:1a:cd:bb:d8:
5f:64:25:81:1b:a8:2f:ef:c7:84:7a:f6:b8:52:4e:4c:1c:8d:
83:b7:9b:02:8e:b2:39:68:a1:fe:f1:59:8b:e0:c4:91:f1:a9:
c7:b3:82:a3:d2:92:2b:e5:79:9f:29:b6:63:e7:cf:9d:17:98:
fe:70
答案3
此“subjectAltName”不应位于此部分:attributes = req_attributes。而应位于 req_extensions = 部分(您可以随意命名)。
不需要像
subjectAltName = Alternative subject names
subjectAltName_default = DNS:www.g00gle.com
只需输入您想要的内容以及您想要的数量:
subjectAltName = DNS:*.g00gle.com, DNS:g00gle.com, DNS:192.168.1.2
(最后一个进行内部访问,如“https://192.168.1.2“ 没有警告)
因此类似于:
[ req ]
req_extensions = my_extensions
[my_extensions]
subjectAltName = DNS:*.g00gle.com, DNS:g00gle.com, DNS:192.168.1.2
干杯!
答案4
我不相信你所要求的是可能的。我也一直在寻找如何做同样的事情,并查看文档在里面错误部分我们看到:
当前的提示不太友好。它不允许您确认刚刚输入的内容。证书请求中的其他内容(例如扩展)在配置文件中静态定义。其中一些:例如 subjectAltName 中的电子邮件地址应由用户输入。
至少对我来说,这意味着不幸的是这只能通过配置文件中的硬编码来指定。