Wie kann ich ein selbstsigniertes Zertifikat mit SubjectAltName mit OpenSSL generieren?
Ich versuche zum generieren eines selbstsignierten Zertifikats mit OpenSSL mit SubjectAltName.Während ich die Generierung der csr für das Zertifikat, meine Vermutung ist, ich habe mit v3 Erweiterungen OpenSSL x509.
Ich bin mit :
openssl req -new -x509 -v3 -key private.key -out certificate.pem -days 730
Kann mir jemand helfen mit dem genauen syntax?
InformationsquelleAutor der Frage mohanjot | 2014-01-31
Du musst angemeldet sein, um einen Kommentar abzugeben.
Seine ein drei-Schritt-Prozess, und es umfasst das ändern
openssl.cnf
- Datei. Sie könnten in der Lage sein, es zu tun, nur mit Kommandozeilen-Optionen, aber ich Tue es nicht so.Finden Sie Ihren
openssl.cnf
- Datei. Es ist wahrscheinlich befindet es sich in/usr/lib/ssl/openssl.cnf
:Auf meinem Debian-system
/usr/lib/ssl/openssl.cnf
verwendet wird, durch die integrierteopenssl
Programm. Auf aktuellen Debian-Systemen befindet es sich an/etc/ssl/openssl.cnf
Können Sie bestimmen, welche
openssl.cnf
verwendet wird, durch hinzufügen einer fadenscheinigenXXX
auf die Datei und sehen, obopenssl
drosseln.Erste, ändern die
req
Parameter. Hinzufügen einesalternate_names
Abschnittopenssl.cnf
mit dem Namen, den Sie verwenden möchten. Es gibt keine vorhandenenalternate_names
Abschnitte, also spielt es keine Rolle, wo Sie es hinzufügen.Als Nächstes fügen Sie den folgenden, um die bestehenden
[ v3_ca ]
Abschnitt. Suche nach der genauen Zeichenfolge[ v3_ca ]
:Könnten Sie ändern
keyUsage
folgenden unter[ v3_ca ]
:digitalSignature
undkeyEncipherment
sind standard-Jahrmarkt für ein server-Zertifikat. Mach dir keine sorgen übernonRepudiation
. Seine ein nutzloses etwas ausgedacht comp sci Jungs, die es werden wollten Anwälte. Es bedeutet nichts in der juristischen Welt.In der Ende, der IETF (RFC 5280), Browser und CAs laufen schnell und Locker, so ist es wahrscheinlich egal, was Schlüsselverwendung Sie stellen.
Zweite, ändern Sie die Unterzeichnung Parameter. Finden Sie diese Zeile unter die
CA_default
Abschnitt:Und zu ändern:
Dieser sorgt für die SANs sind, werden in das Zertifikat. Die anderen Möglichkeiten, um kopieren Sie die dns-Namen sind gebrochen.
Dritte, erstellen Sie Ihre self-signed:
Schließlich, überprüfen Sie das Zertifikat:
InformationsquelleAutor der Antwort jww