Was sind bag Attribute und wie kann ich diese generieren?

während der Konvertierung einige Zertifikate aus dem keystore zu openssl/pem bemerkte ich zum ersten mal, dass es "Bag Eigenschaften" vorangestellt, um die certs.

Die wie folgt Aussehen:

Bag Attributes
    friendlyName: CN=PositiveSSL CA,O=Comodo CA Limited,L=Salford,ST=Greater Manchester,C=GB
subject=/C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=PositiveSSL CA
issuer=/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST    Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware

Tun, Sie dient keiner Funktion?

Bemerkte ich, dass ich mag Sie, weil Sie machen meine Kette-Dateien (eine Verkettung von Zertifikaten) mehr klar. Leider ist das ca-CERT, die ich downloaden haben Sie nicht.

Also wie kann ich diese generieren?

InformationsquelleAutor Scheintod | 2014-12-16

  1. 15

    Um genau zu sein, Sie scheinbar bedeuten konvertieren (oder nur Lesen) mit der openssl pkcs12 (import) Dienstprogramm eine PKCS#12-Datei, die unterstützt werden können, von Java als keystore-war aber nicht die Standardeinstellung ("update") bis Java9 im Jahr 2017. PKCS#12 wurde entwickelt und ist in der Regel verwendet für einen privatekey und die cert(s) (in der Regel mehrere) für diesen Schlüssel, obwohl das format ist so flexibel, dass lone-cert(s). OpenSSL commandline pkcs12 -export erfordert ein privatekey, obwohl es "extra" certs, und ein Programm, das den Aufruf der API kann anscheinend nicht privatekey. In meiner Erfahrung, die Java nicht unterstützen, lone cert(s) im PKCS#12-vor version 8, und in meiner 8 und 9 hat zwei Attribute: pkcs9.friendlyName und 2.16.840.1.113894.746875.1.1 die offenbar eine Oracle-definiert trustedKeyUsage. Die meisten Alleinerziehenden certs werden nicht gespeichert oder heruntergeladen haben, als PKCS#12.

    PKCS#12 definiert ist, in Bezug auf mehrere (leicht unterschiedliche) "Tasche" Strukturen, die verschiedene Dinge, vor allem privatekeys und certs mit Attributen (optional) befestigt sind, wenig überraschend namens "bag Eigenschaften"; Ihr Fall ist (scheinbar) cert(s). Diese Attribute Folgen, die nun die konventionelle Struktur einer beliebigen Anzahl von Paaren von OID-plus-Wert, abhängig von der OID. Beachten Sie in Ihrer Anzeige nur friendlyName ist eine Tasche-Attribut, angegeben, weil es eingerückt ist unter der überschrift.

    Den subject= und issuer= Zeilen sind Felder von der cert selbst, die die openssl pkcs12 (import) - utility extrahiert und druckt für Sie bereit. Wenn das ausreichend ist, können Sie diese anzeigen, die für jede cert mit der x509 Dienstprogramm; insbesondere dann, wenn Sie Sie haben wollen, bevor Sie das PEM-codierte Zertifikat "blob" in den Weg pkcs12 Ausgang hat, verwenden Sie openssl x509 -in infile -subject -issuer -out outfile. Dies gilt eine cert, also, wenn Sie eine Kette in eine PEM-Datei, die Sie brauchen, um es zu teilen auseinander und machen jedes cert getrennt, und möglicherweise kombinieren nachher wieder; zum Beispiel so etwas wie

    # split into files cert_1, cert_2, etc.
$ awk <chain.pem -va="openssl x509 -subject -issuer >cert_" 
  '/^-----BEGIN/{b=a (++n);x=1}x{print|b}/^-----END/{close(b);x=0}'

# output entire "bag" to stdout (with blank lines between certs)
$ awk <chain.pem -va="openssl x509 -subject -issuer" \
  '/^-----BEGIN/{b=a;x=1}x{print|b}/^-----END/{close(b);x=0;print""}'

    Als Vergleich openssl s_client -showcerts hat etwas sehr ähnliches: es gibt Betreff und den Aussteller mit jeder cert-blob von der empfangenen Kette, versah Sie mit einer level-Nummer, "s:" und "i:".

    Danke! Dies ist eine umfassendere Antwort, als ich hoffte.
    Hier ist eine leicht modifizierte Bash-Skript-version, die hält das ganze "Tasche"/"bundle" zusammen, anstatt dass man es auseinander in mehrere Dateien: bagcerts shell-Skript

    InformationsquelleAutor dave_thompson_085

Schreibe einen Kommentar