Was sind bag Attribute und wie kann ich diese generieren?
während der Konvertierung einige Zertifikate aus dem keystore zu openssl/pem bemerkte ich zum ersten mal, dass es "Bag Eigenschaften" vorangestellt, um die certs.
Die wie folgt Aussehen:
Bag Attributes
friendlyName: CN=PositiveSSL CA,O=Comodo CA Limited,L=Salford,ST=Greater Manchester,C=GB
subject=/C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=PositiveSSL CA
issuer=/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware
Tun, Sie dient keiner Funktion?
Bemerkte ich, dass ich mag Sie, weil Sie machen meine Kette-Dateien (eine Verkettung von Zertifikaten) mehr klar. Leider ist das ca-CERT, die ich downloaden haben Sie nicht.
Also wie kann ich diese generieren?
InformationsquelleAutor Scheintod | 2014-12-16
Du musst angemeldet sein, um einen Kommentar abzugeben.
Um genau zu sein, Sie scheinbar bedeuten konvertieren (oder nur Lesen) mit der
openssl pkcs12 (import)
Dienstprogramm eine PKCS#12-Datei, die unterstützt werden können, von Java als keystore-war aber nicht die Standardeinstellung ("update") bis Java9 im Jahr 2017. PKCS#12 wurde entwickelt und ist in der Regel verwendet für einen privatekey und die cert(s) (in der Regel mehrere) für diesen Schlüssel, obwohl das format ist so flexibel, dass lone-cert(s). OpenSSL commandlinepkcs12 -export
erfordert ein privatekey, obwohl es "extra" certs, und ein Programm, das den Aufruf der API kann anscheinend nicht privatekey. In meiner Erfahrung, die Java nicht unterstützen, lone cert(s) im PKCS#12-vor version 8, und in meiner 8 und 9 hat zwei Attribute: pkcs9.friendlyName und 2.16.840.1.113894.746875.1.1 die offenbar eine Oracle-definiert trustedKeyUsage. Die meisten Alleinerziehenden certs werden nicht gespeichert oder heruntergeladen haben, als PKCS#12.PKCS#12 definiert ist, in Bezug auf mehrere (leicht unterschiedliche) "Tasche" Strukturen, die verschiedene Dinge, vor allem privatekeys und certs mit Attributen (optional) befestigt sind, wenig überraschend namens "bag Eigenschaften"; Ihr Fall ist (scheinbar) cert(s). Diese Attribute Folgen, die nun die konventionelle Struktur einer beliebigen Anzahl von Paaren von OID-plus-Wert, abhängig von der OID. Beachten Sie in Ihrer Anzeige nur
friendlyName
ist eine Tasche-Attribut, angegeben, weil es eingerückt ist unter der überschrift.Den
subject=
undissuer=
Zeilen sind Felder von der cert selbst, die dieopenssl pkcs12 (import)
- utility extrahiert und druckt für Sie bereit. Wenn das ausreichend ist, können Sie diese anzeigen, die für jede cert mit derx509
Dienstprogramm; insbesondere dann, wenn Sie Sie haben wollen, bevor Sie das PEM-codierte Zertifikat "blob" in den Wegpkcs12
Ausgang hat, verwenden Sieopenssl x509 -in infile -subject -issuer -out outfile
. Dies gilt eine cert, also, wenn Sie eine Kette in eine PEM-Datei, die Sie brauchen, um es zu teilen auseinander und machen jedes cert getrennt, und möglicherweise kombinieren nachher wieder; zum Beispiel so etwas wieAls Vergleich
openssl s_client -showcerts
hat etwas sehr ähnliches: es gibt Betreff und den Aussteller mit jeder cert-blob von der empfangenen Kette, versah Sie mit einer level-Nummer, "s:" und "i:".Hier ist eine leicht modifizierte Bash-Skript-version, die hält das ganze "Tasche"/"bundle" zusammen, anstatt dass man es auseinander in mehrere Dateien:
bagcerts
shell-SkriptInformationsquelleAutor dave_thompson_085