Wie erstellen Sie die CSR mit utf8 Thema in openssl?

Ich versuche auf " generate Certificate Signing Request mit UTF-8-Betreff.

$ openssl req  -utf8 -nodes -newkey rsa:2048 -keyout my.private_key.pem -out my.csr.pem -text
Generating a 2048 bit RSA private key
......................................................................................................................................................................+++
......+++
writing new private key to 'my.private_key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [PL]:
State or Province Name (full name) []:Zażółć gęślą jaźń
problems making Certificate Request
12376:error:0D07A07C:asn1 encoding routines:ASN1_mbstring_ncopy:illegal characters:a_mbstr.c:162:

Terminal-encoding ist UTF-8, erhalte ich das gleiche problem, wenn ich verwenden Sie die Befehlszeile Thema
(...) -subj /C=PL/ST=zażółć\ gęślą\ jaźń/O=my-company/CN=ThisIsMeForSure

Wenn ich überspringen Sie die -utf8 Schalter, die CSR generiert wird, mit der alle nicht-ascii-Zeichen ersetzt, mit hex-Schreibweise (z.B. ó wird \xC3\xB3). Solche CSR ist nicht Lesen richtig mit php (openss_x509_parse) - original - ó gelesen als vier bytes, was zwei komische Zeichen...

Was mache ich falsch?

Mit openssl req ohne eine benutzerdefinierte conf-Datei bedeutet, dass der server-name wird in der CN. Die Praxis ist veraltet, sowohl von der IETF und des CA/B Forums. Stattdessen sollten Sie sicherstellen, dass die server-Namen und IP-Adressen) sind in der SAN. Siehe z.B. so erstellen Sie ein selbst-signiertes Zertifikat mit openssl? (die Antwort ist für beide signing requests, und selbst signierte Zertifikate). Und string_mask = utf8only setzen Sie in der conf-Datei.

InformationsquelleAutor SWilk | 2013-05-10

18

Ich habe erfolgreich mit Befehl
```
openssl req -new -utf8 -nameopt multiline,utf8 -config example.com.cnf -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr
```
Wo example.com.cnf ist eine Konfiguration-Datei, die in UTF-8:
```
[req]
prompt = no
distinguished_name = dn
req_extensions = ext

[dn]
CN = Описание сайта                # Site description
emailAddress = [email protected]
O = Моя компания                   # My company
OU = Моё подразделение             # My dept
L = Москва                         # Moscow
C = RU

[ext]
subjectAltName = DNS:example.com,DNS:*.example.com
```
Korrekt angezeigt, in Chrome, Firefox und Safari.
- In der Tat, die -nameopt multiline option utf8 eingebunden ist sinnlos in diesem Zusammenhang. Nur die utf-8 macht einen Unterschied. Der Benutzer kann immer noch vermeiden Sie die Einstellung dieser option auf der Kommandozeile mit einer richtigen Konfigurationsdatei. Fügen Sie einfach utf8 = yes in der [req] - Abschnitt. Dies sollte das lieber Weg zu gehen, da vergessen die utf-8-option auf der Kommandozeile zu unerwünschten Resultaten führen kann. Bei der Anzeige des Zertifikats, müssen Sie verwenden die -nameopt utf8-option, die -nameopt multiline utf8-option macht das utf8-Wert, ignoriert zu werden für mich. OpenSSL version 1.0.2 h.
- Ich bestätigte -utf8 option allein ist genug. openssl req -new -newkey rsa:2048 -sha256 -nodes -utf8 -subj "/C=JP/ST=大阪府/L=大阪市/O=架空の会社名の例/OU=あ/CN=www.example.jp" -out ./clients/$client_domain/$client_domain.csr.pem -keyout ./clients/$client_domain/$client_domain.key.pem $ dpkg-query -W -f='${Version}\n' openssl 1.0.2 g-1ubuntu4.5 Danke, Achille!
- haben Sie keine E-Mail in nicht-englischen. Hast du irgendeinen besonderen Grund für, dass @Envek ?
- Gut, ich habe noch nie gesehen, nicht-lateinische Mail-Adressen. Wenn Sie angeben müssen, Postfach internationalized domain, als Sie müssen angeben, die domain in Punycode (nach dem @). Aber ich weiß nicht über username-part (vor dem @)
InformationsquelleAutor Envek
2

Versuchen, mit den string_mask option:

string_mask

Diese option Masken aus der Verwendung bestimmter string-Typen in bestimmten Bereichen. Die meisten Benutzer nicht brauchen, um diese option zu ändern.

Es kann festgelegt werden, um mehrere Werte, die auch die Standard-option verwendet PrintableStrings, T61Strings und BMPStrings wenn die pkix-Wert verwendet wird, dann nur PrintableStrings und BMPStrings verwendet werden. Dies folgt schon die PKIX-Empfehlung in RFC2459. Wenn die utf8only option verwendet wird, dann nur UTF8Strings verwendet werden: dies ist die PKIX-Empfehlung in RFC2459 nach 2003. Schließlich die nombstr option wird nur verwendet PrintableStrings und T61Strings: manche software hat Probleme mit BMPStrings und UTF8Strings: insbesondere Netscape.
- Anscheinend ist diese (string_mask) ist nicht ausreichend. (Dies gibt in der Tat UTF-8-codes zu Zeichen, aber nicht behandeln Sie auf diese Weise während der Anzeige in vielen tools). -utf8 oder utf8 = yes ist der Weg zu gehen. (Empirisch überprüft).
- du hast Recht. Kann man eine Antwort aus dem Kommentar?
- Die am höchsten bewerteten Antwort bereits beinhaltet -utf8 wechseln, also ich bin nicht wirklich sicher, ob es eine Notwendigkeit dafür. Es fügt nur zusätzliche Klärung, aber nichts wirklich wichtiges. Vielen Dank, du.
InformationsquelleAutor elecengin

Unicode Arbeit für mich von der php-Datei.

<? shell_exec('openssl req -new -md5 -utf8 -key C:/Temp/1.key -out C:/Temp/1.csr -subj "/C=MD/ST=ff/O=Religie/OU=Cen/CN=中国/[email protected]" -config C:/Temp/openssl.cnf'); ?>

InformationsquelleAutor Vitalicus

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.