使用 openssl 3 创建自签名证书,就像“New-SelfSignedCertificate”一样

tag-icon tag-icon ssl-certificate openssl certificate winrm self-signed-certificate
使用 openssl 3 创建自签名证书,就像“New-SelfSignedCertificate”一样

首先,我在谷歌上搜索了 openssl,例如这个,也尝试了几十次创建有效的自签名证书。
但我想在 serverfault 上询问会快得多。

我的平台是安装了 openssl 3.2.0 精简版的 Windows 10 计算机。基础架构没有域,只是一个测试环境。

目标是为 Windows 主机和 Windows 远程管理 https 协议创建一个自签名证书,我确实知道 Windows Powershell“New-SelfSignedCertificate”可以直接解决我的需求,但这不是我想要的。

Openssl 是我需要的工具。我想使用 openssl 生成自签名证书(从 0 开始),与“New-SelfSignedCertificate”可以生成的证书相同。

导入证书(由 openssl 生成)后配置“winrm”时遇到问题。错误消息如下:

settings Error number:  -2144108306 0x803380EE
The WinRM client cannot process the request. 
The Enhanced Key Usage (EKU) field of the certificate is not set to "Server Authentication". 
Retry the request with a certificate that has the correct EKU.

以下是我用来创建自签名证书的命令:
#生成私钥
openssl genpkey -algorithm RSA -out private-key.pem

#生成证书签名请求(CSR)
openssl req -new -key private-key.pem -out certificatesigningrequest.pem -days 3650 -subj "/C=US/ST=Colorado/L=aspen/CN=10.0.2.4/OU=myhostgroup/O=testinfra" -addext "keyUsage=digitalSignature,keyEncipherment" -addext "extendedKeyUsage=serverAuth,clientAuth"

#生成自签名证书
openssl x509 -req -in certificatesigningrequest.pem -signkey private-key.pem -out self-signed.crt

#将私钥和证书合并为PKCS#12文件(PFX/P12)
openssl pkcs12 -export -in self-signed.crt -inkey private-key.pem -out certificate.pfx -password pass:P@ssw0rd

执行上面列出的命令行时,它们都正常工作,没有错误消息,但是,永远无法插入“keyUsage”和“extendedKeyUsage”,并且这些扩展永远不会出现在证书中。结果是,当尝试使用 https 配置 winrm 以使用此证书时,会出现错误消息,如上所示。

我想逐一解决问题。
有人可以提供一些关于如何使用 openssl 3 处理证书扩展的提示吗?

答案1

openssl x509 -req没有的话-copy_extensions不会从 CSR 复制扩展,因此您必须添加,例如-copy_extensions=copyall

另外,您指定了-days 3650错误的命令;它也会抱怨。

尝试像这样改变你的工作流程:

  1. 生成私钥(原样):

    openssl genpkey -algorithm RSA -out private-key.pem

  2. 生成证书签名请求 (CSR):

    openssl req -new -key private-key.pem -out certificatesigningrequest.pem \
  -subj "/C=US/ST=Colorado/L=aspen/CN=10.0.2.4/OU=myhostgroup/O=testinfra" \
  -addext "keyUsage=digitalSignature,keyEncipherment" \
  -addext "extendedKeyUsage=serverAuth,clientAuth"

    (移至-days 3650下一个命令。)

  3. 生成自签名证书:

    openssl x509 -req \
  -days 3650 \
  -copy_extensions=copyall \
  -in certificatesigningrequest.pem \
  -signkey private-key.pem \
  -out self-signed.crt

    您现在可以测试openssl x509 -in self-signed.crt -text -noout它是否具有扩展:

    Certificate:
    Data:
        X509v3 extensions:
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication

  4. 将私钥和证书合并为 PKCS#12 文件 (PFX/P12)(原样)​​:

    openssl pkcs12 -export -in self-signed.crt -inkey private-key.pem \
  -out certificate.pfx -password pass:P@ssw0rd

相关内容