OpenSSL - 使用 CA 签名时添加主体备用名称 (SAN)

OpenSSL - 使用 CA 签名时添加主体备用名称 (SAN)

如何在使用 OpenSSL 签署证书请求时添加主题备用名称(如果重要的话,在 Windows 中)?

我已经从 IIS 界面生成了基本证书签名请求 (CSR)。现在,我想添加几个主题备用名称,使用现有根证书对其进行签名,然后返回证书以完成签名请求。

我能找到的每个教程都涉及生成新的私钥和全新的 CSR,但我认为私钥驻留在请求计算机上(我不一定有权访问)。我只想在添加备用名称的同时签署请求。我对 OpenSSL 和 CA 主题比较陌生,所以这可能是我的误解。

答案1

我个人在 CSR 生成时添加了 alt 名称,因此我知道这是有效的(在生成和签名的默认配置文件中有一些小问题)。

至于之后的更改,据我记得,Alt Names 是扩展名,似乎您可以在签名时覆盖或添加所需的扩展名。我会厚颜无耻地复制:

From: Patrick Patterson @carillonis.com
Newsgroups: mailing.openssl.users
Subject: Re: Sign CSR after modifying data in CSR possible?
Date: Tue, 5 Jan 2010 15:14:05 -0500
Message-ID: <mailpost.1262722567.7762451.82829.mailing.openssl.users@FreeBSD.cs.nctu.edu.tw>

当您使用 openssl CA(奇怪的是:openssl ca)命令时,您可以给它提供许多选项,包括使用哪个主题值(参数-subj)以及使用哪些扩展(通过-extfile-extensions参数)。

因此,您可以通过以下命令设置所需的扩展名和主题(导致 CSR 中的两个值都被完全忽略):

openssl ca -config /etc/myca/openssl.cnf                       \
    -extfile /etc/myca/openssl-exts.cnf                        \
    -extension sig-medium                                      \
    -subj "/C=CA/O=Example Company/OU=Engineering/CN=John Doe" \
    -in req.csr                                                \
    -out john-doe.pem

在哪里:

/etc/myca/openssl-exts.cnf 包含:

[ sig-medium ]
basicConstraints                = CA:FALSE
keyUsage                        = critical, digitalSignature
extendedKeyUsage                = emailProtection, anyExtendedKeyUsage
nsComment                       = "Do Not trust - PURE TEST purposes only"
subjectKeyIdentifier            = hash
authorityKeyIdentifier          = keyid,issuer
subjectAltName                  = @testsan
authorityInfoAccess             = @aia_points
crlDistributionPoints           = @crl_dist_points

[ testsan ]
email = [email protected]
DNS = www.example.com
dirName = test_dir
URI = http://www.example.com/
IP = 172.16.0.1
otherName.0 = 1.3.6.1.4.1.311.20.2.3;UTF8:[email protected]
otherName.1 = 1.3.6.1.5.5.7.8.7;IA5STRING:_mail.example.com
otherName.2 = 1.3.6.1.5.5.7.8.5;UTF8:[email protected]

[aia_points]
caIssuers;URI.0=http://www.example.com/caops/Signing-CA.p7c
caIssuers;URI.1=ldap://dir.example.com/<DN of Signing 
CA>?cACertificate;binary?base?objectclass=pkiCA

[crl_dist_points]
URI.0=http://www.example.com/caops/test-signca1-crl.crl
URI.1=ldap://dir.example.com/<DN of Signing 
CA>?certificateRevocationList;binary?base?objectclass=pkiCA

相关内容