可能仍不受支持。尝试 asn1parse。

tag-icon tag-icon ssl openssl certificate
可能仍不受支持。尝试 asn1parse。

尝试读回时,OpenSSL 似乎已损坏subjectAltName/otherName/UTF8自行编写的值:

相关openssl.cnf配置(使用官方但随机的 OID):

[alt_names]
DNS.1   = www.foo.com
DNS.2   = www.bar.org
IP.1    = 192.168.1.1
IP.2    = 192.168.69.144
email = email@me

otherName = 1.3.6.1.4.1.1;UTF8:some other identifier

从此配置生成的 CSR 转储中获取的示例:

            TLS Web Server Authentication
        X509v3 Subject Alternative Name: 
            DNS:www.foo.com, DNS:www.bar.org, IP Address:192.168.1.1, IP Address:192.168.69.144, email:email@me, othername:<unsupported>
Signature Algorithm: sha1WithRSAEncryption
    6f:4a:1d:8f:43:7e:4d:d1:0c:7e:05:9d:1f:f0:98:b1:69:cf:

有人能指出我是否做错了吗?这让我很抓狂。

答案1

仅供参考,您必须找到“OBJECT:X509v3 主题备用名称”行正下方的“OCTET STRING”行,然后strparse

# print section offset via
openssl asn1parse -in yourcert.pem
# parse otherName from "OCTET STRING" 
openssl asn1parse -in yourcert.pem -strparse <offset>

答案2

可能仍不受支持。尝试 asn1parse。

输出<unsupported>是2010年的常规结果。我的猜测:现在仍然如此。

一位 OpenSSL 开发人员在邮件列表(存档这里.):

史蒂文·汉森,2010-01-02:

目前,OpenSSL 不显示任何其他名称值。它无法知道该字段的确切含义,因为格式可能完全是任意的。它最多可以对内容进行 asn1parse。

并且如果您openssl asn1parse在文件上使用来查找该:X509v3 Subject Alternative Name部分的偏移量,然后使用-strparse带有该偏移量的选项,那么otherName实际上就会显示出来。

相关内容