การเพิ่ม Subject Alternate Names (SAN) ไปยังคำขอการเซ็นชื่อรับรอง (CSR) ที่มีอยู่

ใครช่วยบอกฉันได้ไหมว่าฉันจะเพิ่มชื่อสำรองของหัวเรื่องจำนวนมากให้กับ CSR ที่มีอยู่ได้อย่างไร

ฉันไม่ได้พูดเกี่ยวกับการสร้าง CSR ด้วย SAN หรือเพิ่ม SAN เมื่อลงนาม - ฉันรู้วิธีทำสิ่งเหล่านี้ทั้งสอง

พื้นหลัง: ปัญหาที่เรามีคือแชสซีเบลดของ HP ช่วยให้คุณสร้าง CSR แต่พวกเขาอนุญาตได้เพียง SAN เดียว เราไม่สามารถใช้ CSR ที่สร้างขึ้นที่อื่นเนื่องจากเราไม่สามารถใช้ใบรับรองผลลัพธ์เนื่องจากไม่มีวิธี (ที่ฉันหาได้) เพื่ออัปโหลดคีย์ไปยังแชสซีเบลด

กระบวนการมาตรฐานของ CA ของเราไม่อนุญาตให้เพิ่ม SAN คือเวลาลงชื่อ พวกเขายินดีที่จะทดลองใช้ แต่ฉันพยายามหาวิธีแก้ปัญหาที่จุดสิ้นสุดของเราเพราะนี่จะหมายความว่าเราจะไม่ต้องพึ่งพาพวกเขาที่มีกระบวนการที่ไม่ได้มาตรฐานสำหรับเรา - จากประสบการณ์ของฉันหากพวกเขาจำเป็นต้องใช้กระบวนการที่ไม่ได้มาตรฐาน ในที่สุดชีวิตจะยากลำบาก เช่นเมื่อพนักงานที่รู้ว่ากระบวนการที่ไม่ได้มาตรฐานนั้นไม่ปรากฏเนื่องจากออกจากงานเป็นต้น

วิธีปัจจุบันคือการเชื่อมต่อกับผู้ดูแลระบบบอร์ดเบลดแชสซีผ่านทางเว็บ gui และสร้าง CSR ด้วย CN เดียว

web gui อนุญาตให้ SAN เดียวใน CSR เท่านั้น

จากนั้นเราก็เซ็นชื่อมันด้วย stanza ต่อไปนี้ใน openssl config:

[ v3_ca ]
subjectAltName = "DNS:bladesystem8,DNS:bladesystem8.services.adelaide.edu.au,DNS:bladesystem8-backup,DNS:bladesystem8-backup.services.adelaide.edu.au"

ใบรับรองผลลัพธ์มี SAN เพิ่มเติม

หากแชสซีของคุณไม่รองรับการเพิ่ม SAN คุณจะต้องถอดกุญแจออกจากแชสซีและสร้าง CSR ด้วย openssl

ตรวจสอบให้แน่ใจว่าreq_extensions = v3_reqไม่มีการใส่เครื่องหมายใน[ req ]ส่วน

เพิ่มsubjectAltNameไปยัง[ v3_req ]ส่วน

สร้าง CSR ใหม่

openssl req -new -key extracted_c7000.key -out your_new.csr

คุณไม่สามารถแก้ไข CSR ที่มีอยู่

หมายเหตุสำคัญ: ทั้งหมดนี้ค่อนข้างเป็นการเก็งกำไรดังนั้นหากคุณลึกล้ำในรหัสและไม่เห็นด้วยกับสิ่งที่ฉันพูดเชื่อรหัส ฉันไม่ใช่ผู้เชี่ยวชาญของ CA ฉันเพิ่งเล่นในทีวี ที่กล่าวว่า:

ในฐานะที่เป็นคุณสมบัติของ CSRs มันจะเป็นเรื่องยาก ขั้นตอนสุดท้ายในการสร้าง CSR โดยทางโปรแกรมคือการแฮชทุกสิ่งที่คุณสร้างจากนั้นลงชื่อด้วยคีย์ส่วนตัว ดังนั้นในขณะที่คุณสามารถเพิ่มแอททริบิวเหล่านั้นลงในข้อความของ CSR ลายเซ็นจะไม่ตรงกับเนื้อหาดังนั้นจึงไม่มี CA จะเซ็นชื่อ

ในกรณีของคุณคุณสามารถควบคุม (หรืออย่างน้อยก็ติดต่อด้วย) CA สิ่งนี้มีสองตัวเลือกให้คุณ:

1. คุณสามารถสั่งให้ CA เพิกเฉยลายเซ็นบน CSR และออกใบรับรองได้
2. คุณสามารถให้ CA ออกใบรับรองที่แตกต่างจากที่ร้องขอ (เช่นโดยการเพิ่มคุณสมบัติ)

ในจำนวนนี้ # 1 ดูเหมือนจะง่ายที่สุด คุณจะต้องทำลายตราประทับการงัดแงะที่เห็นได้ชัดใน OpenSSL เพื่อให้มันทำเช่นนี้ แต่มีฟังก์ชั่นบางอย่างที่ควรทำให้ง่ายขึ้นเล็กน้อย ฉันจะเริ่มต้นด้วย asn1parse ซึ่งจะแสดงให้คุณเห็นวิธีการแยก CSR

ในขณะที่คำตอบของ cakemox นั้นเป็นวิธีที่ง่ายที่สุดถ้าคุณสามารถรับรหัสส่วนตัวได้ แต่ก็มีวิธีอื่นถ้าคุณไม่สามารถลงชื่อ CSR ได้อีกครั้งโดยใช้ใบรับรอง "ตัวแทนการลงทะเบียน"

โพสต์บล็อก css-security.comนี้มีรายละเอียดที่เป็นประโยชน์ทั้งหมด แต่ภาพรวมระดับสูงของกระบวนการมีลักษณะดังนี้:

• รับใบรับรองตัวแทนการลงทะเบียน
• แก้ไขเท็มเพลตใบรับรอง SSL เพื่อต้องการใบรับรอง EA สำหรับการออก
• รับ CSR ที่ต้องการข้อมูล SAN
• ใช้ใบรับรอง EA เพื่อลาออก CSR ขณะที่เพิ่มข้อมูล SAN

เมื่อฉันลองทำสิ่งนี้เป็นการส่วนตัวฉันค่อนข้างแน่ใจว่าฉันข้ามส่วนเกี่ยวกับการแก้ไขแม่แบบใบรับรอง สมมติว่าคุณสามารถสร้างใบรับรองตัวแทนการลงทะเบียนได้ด้วยตัวเองกระบวนการจริงจะมีลักษณะดังนี้

สร้าง san.inf ด้วยข้อมูลส่วนขยาย SAN

[Extensions]
2.5.29.17="{text}dns=mysan1.example&dns=mysan2.example"

ลงชื่อคำขออีกครั้ง

certreq -policy -config "myca.example\CA" orig-request.csr san.inf corrected-request.csr

ส่งคำขอที่ถูกต้อง

certreq -submit -config "myca.example\CA" -attrib "CertificateTemplate:MyTemplate" corrected-request.csr

จากนั้นดำเนินการตามปกติด้วยกระบวนการออก