OpenSSL: วิธีการสร้าง CSR ด้วยการร้องขอทางเลือกชื่อเรื่อง (SANs) แบบโต้ตอบได้อย่างไร

11

ฉันต้องการกำหนดค่า OpenSSL เช่นนั้นเมื่อทำงานopenssl req -newเพื่อสร้างคำขอลงนามใบรับรองใหม่ฉันได้รับแจ้งให้ระบุชื่อเรื่องอื่นที่จะรวมไว้ใน CSR

ฉันได้เพิ่มบรรทัดนี้ใน[req_attributes]ส่วนของฉันopenssl.cnf:

subjectAltName                  = Alternative subject names

นี่เป็นเอฟเฟกต์ที่ต้องการซึ่งตอนนี้ฉันได้รับพร้อมท์สำหรับ SAN เมื่อสร้าง CSR:

$ openssl req -new -out test.csr -key ./test.key                            <<<
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [New York]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Example Co]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:test.example.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Alternative subject names []:DNS:alt1.example.com

ในตัวอย่างด้านบนฉันได้ป้อนDNS:alt1.example.comเมื่อระบบแจ้งขอ SAN

ปัญหาคือ CSR ที่ปรากฏนั้นไม่ได้อยู่ในรูปแบบที่ดี:

$ openssl req -text -in ./test.csr
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, ST=New York, O=The Banes, CN=test.thebanes.org
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    [...]
                Exponent: 65537 (0x10001)
        Attributes:
            X509v3 Subject Alternative Name:unable to print attribute

OpenSSL บ่นว่าไม่สามารถพิมพ์ค่าของแอตทริบิวต์ Alternative Alternative Name จากตัวอย่างออนไลน์ (ที่ผู้ใช้รหัสยาก SAN ใน openssl.cnf ของพวกเขาแทนที่จะแจ้งให้พวกเขาโต้ตอบตามที่ฉันต้องการ) ฉันคาดหวังที่จะเห็นสิ่งนี้แทน:

        Attributes:
            X509v3 Subject Alternative Name:
                DNS:alt1.example.com

ดังนั้นฉันจะสร้าง CSR ที่มีรูปแบบที่ดีได้อย่างไร

ssl  ssl-certificate  openssl  certificate 
Maxy-B
แหล่งที่มา
น่าเสียดายที่ฉันคิดว่าไม่มีวิธีแก้ปัญหาสำหรับ "บริสุทธิ์" openssl- คุณจะต้องมีสคริปต์ที่จะทำให้ไฟล์การกำหนดค่าหายไป :( PS โซลูชันที่พิสูจน์แล้วว่าทำได้โดยไม่โต้ตอบ: stackoverflow.com/a/9158662/2693875
Greg Dubicki

คำตอบ:

4

ฉันเคยต่อสู้กับนักเก็ตตัวน้อยนี้ ... PITA คืออะไร!

วิธีแก้ปัญหาของฉัน: ฉันย้ายไฟล์ openssl.cnf ทั้งหมดไปยังไฟล์เทมเพลตชุดเครื่องมือโดยปล่อยเฉพาะชิ้นส่วน sans เป็นชิ้นส่วนสำรองจากนั้นจึงห่อสคริปต์ Perl ไว้รอบ ๆ

สคริปต์ perl จะแจ้งให้รายการ SANs จากนั้นแทรกลงในแม่แบบบันทึกแม่แบบไปยังไฟล์ temp แล้วฉันเรียก openssl req ด้วยตัวเลือก -config ที่ชี้ไปที่ไฟล์ temp ทิ้งไฟล์ชั่วคราวหลังจากสร้าง CSR แล้ว

คุณอาจต้องการดู: http://www.openssl.org/docs/apps/config.html

มีคนอื่น ๆ ที่แทนที่ $ ENV ก่อนดำเนินการและตัดการเรียกไปยัง openssl req ใน perl หรือ shell และทำสิ่งเดียวกันในลักษณะที่มีประสิทธิภาพมากกว่าเล็กน้อย: http://blog.loftninjas.org/2008/11/11// การกำหนดค่าใช้ SSL ร้องขอที่มี SubjectAltName ที่มี OpenSSL /

พอลอัลเลน
แหล่งที่มา
โซลูชัน $ ENV ใช้งานไม่ได้สำหรับฉัน :(
Greg Dubicki
2

ฉันกำลังมองหาวิธีแก้ปัญหาด้วย และนี่คือสิ่งที่คุณต้องการ:

[req]
default_bits      = 2048
default_key_file  = private.key.pem
...
...
attributes        = req_attributes

[req_attributes]
subjectAltName = Alternative DNS names, Email adresses or IPs (comma seperated list)
#optional default value
subjectAltName_default = DNS:myhost.com.au,IP:127.0.0.1,EMAIL:my@here.org

และคุณสามารถรับสิ่งนี้ได้โดยแจ้งชื่อหัวข้ออื่น :)

#openssl req -in mytest1/temp.csr.pem -noout -text
    Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=DE, ST=Sachsen, L=Heidenau, O=IT Rab\xC3\xB6se, OU=ssl
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:d8:cd:14:ca:d0:06:6c:8c:11:e9:52:bc:46:39:
                    c1:cf:5a:6e:dd:3b:a8:85:15:6b:13:82:82:4a:48:
                    cb:53:ea:70:ea:f4:02:b2:ef:b1:41:b2:d7:11:c7:
                    11:ba:07:1b:be:8c:30:bc:60:d2:82:83:a1:e1:19:
                    75:3b:69:03:01:3c:2b:7b:85:f4:2e:a9:58:68:8f:
                    0e:f4:5e:50:e1:3f:9e:cf:46:a0:eb:69:aa:1e:cb:
                    3a:99:cb:1d:93:60:d0:3b:38:96:87:45:19:51:f4:
                    40:72:e5:a7:5e:62:37:41:44:48:64:47:95:14:97:
                    4f:27:d0:0c:e7:6f:c1:e1:37
                Exponent: 65537 (0x10001)
        Attributes:
            X509v3 Subject Alternative Name:DNS:www.google.de,EMAIL:im@you.org
    Signature Algorithm: sha1WithRSAEncryption
        9d:2b:e4:eb:1b:c0:b6:0b:b4:62:a7:4d:01:68:98:68:36:98:
        1e:e9:bc:59:24:0f:1b:32:7b:da:9d:39:a4:0f:2c:70:3e:aa:
        f7:07:e7:6b:9b:3b:00:b3:71:e0:54:07:78:c7:6e:57:e3:89:
        07:e1:93:f1:77:e7:cc:0e:d0:ed:c5:d0:a3:5d:1a:cd:bb:d8:
        5f:64:25:81:1b:a8:2f:ef:c7:84:7a:f6:b8:52:4e:4c:1c:8d:
        83:b7:9b:02:8e:b2:39:68:a1:fe:f1:59:8b:e0:c4:91:f1:a9:
        c7:b3:82:a3:d2:92:2b:e5:79:9f:29:b6:63:e7:cf:9d:17:98:
        fe:70
raiserle
แหล่งที่มา
สิ่งนี้ใช้ได้เมื่อดู CSR แต่เมื่อฉันสร้างใบรับรองมันจะไม่เก็บ SAN
Jess
หากรูปแบบถูกต้องสำหรับ SAN? รายการคั่นด้วยเครื่องหมายจุลภาค ตรวจสอบกับ DNS นำหน้า SAN เท่านั้นหากไม่รองรับ IP, EMAIL ตัวอย่าง: INPUT >>DNS:my.dns.com, DNS:my.otherdns.org
raiserle
ตกลง. นี่เป็นฟังก์ชั่นปกติของopenssl wtf ! นอกจากนี้คุณยังจะต้องให้ SAN กับCAคำสั่งเป็นหรือ-extensions <string> mta.openssl.org/pipermail/openssl-users/2016- มกราคม /-extfile <file>
raiserle
1

"subjectAltName" นี้ไม่ควรอยู่ในส่วนนี้: attributes = req_attributes แต่ในส่วนของ req_extensions = (เรียกมันว่าอะไรก็ได้ที่คุณต้องการ)

และไม่จำเป็นต้องมี BS เหมือนทุกอย่าง 

subjectAltName           = Alternative subject names
subjectAltName_default   = DNS:www.g00gle.com

เพียงพิมพ์สิ่งที่คุณต้องการจำนวนที่คุณต้องการ:

subjectAltName = DNS:*.g00gle.com, DNS:g00gle.com, DNS:192.168.1.2

(อันสุดท้ายทำให้การเข้าถึงภายในเช่น " https://192.168.1.2 " โดยไม่มีการเตือน)

ดังนั้นสิ่งที่ชอบ:

[ req ]
req_extensions     = my_extensions

[my_extensions]
subjectAltName     = DNS:*.g00gle.com, DNS:g00gle.com, DNS:192.168.1.2

ไชโย!

MXW
แหล่งที่มา
1
นี่ไม่ใช่สิ่งที่ OP ร้องขอ - เขาต้องการโซลูชันแบบโต้ตอบ
Greg Dubicki
1
ไม่ควรบันทึก IP โดยใช้ "IP: 192.168.1.2" ไม่ใช่ระเบียนในรูปแบบ DNS ใช่หรือไม่ ฉันสังเกตการสนทนานี้จาก 2013 เกี่ยวกับข้อบกพร่องระหว่างเบราว์เซอร์เมื่อใช้ DNS หรือ IP เพื่อจัดเก็บที่อยู่ IP เป็น SAN - michaelm.info/blog/?p=1281 - แต่ข้อผิดพลาดนี้ควรจะถูกรวมไว้ในตอนนี้
Chris Woods
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.