如何在使用 OpenSSL 签署证书请求时添加主题备用名称(如果重要的话,在 Windows 中)?
我已经从 IIS 界面生成了基本证书签名请求 (CSR)。现在,我想添加几个主题备用名称,使用现有根证书对其进行签名,然后返回证书以完成签名请求。
我能找到的每个教程都涉及生成新的私钥和全新的 CSR,但我认为私钥驻留在请求计算机上(我不一定有权访问)。我只想在添加备用名称的同时签署请求。我对 OpenSSL 和 CA 主题比较陌生,所以这可能是我的误解。
答案1
我个人在 CSR 生成时添加了 alt 名称,因此我知道这是有效的(在生成和签名的默认配置文件中有一些小问题)。
至于之后的更改,据我记得,Alt Names 是扩展名,似乎您可以在签名时覆盖或添加所需的扩展名。我会厚颜无耻地复制:
From: Patrick Patterson @carillonis.com
Newsgroups: mailing.openssl.users
Subject: Re: Sign CSR after modifying data in CSR possible?
Date: Tue, 5 Jan 2010 15:14:05 -0500
Message-ID: <mailpost.1262722567.7762451.82829.mailing.openssl.users@FreeBSD.cs.nctu.edu.tw>
当您使用 openssl CA(奇怪的是:openssl ca)命令时,您可以给它提供许多选项,包括使用哪个主题值(参数-subj
)以及使用哪些扩展(通过-extfile
和-extensions
参数)。
因此,您可以通过以下命令设置所需的扩展名和主题(导致 CSR 中的两个值都被完全忽略):
openssl ca -config /etc/myca/openssl.cnf \
-extfile /etc/myca/openssl-exts.cnf \
-extension sig-medium \
-subj "/C=CA/O=Example Company/OU=Engineering/CN=John Doe" \
-in req.csr \
-out john-doe.pem
在哪里:
/etc/myca/openssl-exts.cnf 包含:
[ sig-medium ]
basicConstraints = CA:FALSE
keyUsage = critical, digitalSignature
extendedKeyUsage = emailProtection, anyExtendedKeyUsage
nsComment = "Do Not trust - PURE TEST purposes only"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
subjectAltName = @testsan
authorityInfoAccess = @aia_points
crlDistributionPoints = @crl_dist_points
[ testsan ]
email = [email protected]
DNS = www.example.com
dirName = test_dir
URI = http://www.example.com/
IP = 172.16.0.1
otherName.0 = 1.3.6.1.4.1.311.20.2.3;UTF8:[email protected]
otherName.1 = 1.3.6.1.5.5.7.8.7;IA5STRING:_mail.example.com
otherName.2 = 1.3.6.1.5.5.7.8.5;UTF8:[email protected]
[aia_points]
caIssuers;URI.0=http://www.example.com/caops/Signing-CA.p7c
caIssuers;URI.1=ldap://dir.example.com/<DN of Signing
CA>?cACertificate;binary?base?objectclass=pkiCA
[crl_dist_points]
URI.0=http://www.example.com/caops/test-signca1-crl.crl
URI.1=ldap://dir.example.com/<DN of Signing
CA>?certificateRevocationList;binary?base?objectclass=pkiCA