Wie kann ich ein selbstsigniertes Zertifikat mit SubjectAltName mit OpenSSL generieren?

Ich versuche zum generieren eines selbstsignierten Zertifikats mit OpenSSL mit SubjectAltName.Während ich die Generierung der csr für das Zertifikat, meine Vermutung ist, ich habe mit v3 Erweiterungen OpenSSL x509.
Ich bin mit :

openssl req -new -x509 -v3 -key private.key -out certificate.pem -days 730

Kann mir jemand helfen mit dem genauen syntax?

InformationsquelleAutor der Frage mohanjot | 2014-01-31

  1. 130

    Kann mir jemand helfen mit dem genauen syntax?

    Seine ein drei-Schritt-Prozess, und es umfasst das ändern openssl.cnf - Datei. Sie könnten in der Lage sein, es zu tun, nur mit Kommandozeilen-Optionen, aber ich Tue es nicht so.

    Finden Sie Ihren openssl.cnf - Datei. Es ist wahrscheinlich befindet es sich in /usr/lib/ssl/openssl.cnf:

    $ find /usr/lib -name openssl.cnf
/usr/lib/openssl.cnf
/usr/lib/openssh/openssl.cnf
/usr/lib/ssl/openssl.cnf

    Auf meinem Debian-system /usr/lib/ssl/openssl.cnf verwendet wird, durch die integrierte openssl Programm. Auf aktuellen Debian-Systemen befindet es sich an /etc/ssl/openssl.cnf

    Können Sie bestimmen, welche openssl.cnf verwendet wird, durch hinzufügen einer fadenscheinigen XXX auf die Datei und sehen, ob openssl drosseln.

    Erste, ändern die req Parameter. Hinzufügen eines alternate_names Abschnitt openssl.cnf mit dem Namen, den Sie verwenden möchten. Es gibt keine vorhandenen alternate_names Abschnitte, also spielt es keine Rolle, wo Sie es hinzufügen.

    [ alternate_names ]

DNS.1        = example.com
DNS.2        = www.example.com
DNS.3        = mail.example.com
DNS.4        = ftp.example.com

    Als Nächstes fügen Sie den folgenden, um die bestehenden [ v3_ca ] Abschnitt. Suche nach der genauen Zeichenfolge [ v3_ca ]:

    subjectAltName      = @alternate_names

    Könnten Sie ändern keyUsage folgenden unter [ v3_ca ]:

    keyUsage = digitalSignature, keyEncipherment

    digitalSignature und keyEncipherment sind standard-Jahrmarkt für ein server-Zertifikat. Mach dir keine sorgen über nonRepudiation. Seine ein nutzloses etwas ausgedacht comp sci Jungs, die es werden wollten Anwälte. Es bedeutet nichts in der juristischen Welt.

    In der Ende, der IETF (RFC 5280), Browser und CAs laufen schnell und Locker, so ist es wahrscheinlich egal, was Schlüsselverwendung Sie stellen.

    Zweite, ändern Sie die Unterzeichnung Parameter. Finden Sie diese Zeile unter die CA_default Abschnitt:

    # Extension copying option: use with caution.
# copy_extensions = copy

    Und zu ändern:

    # Extension copying option: use with caution.
copy_extensions = copy

    Dieser sorgt für die SANs sind, werden in das Zertifikat. Die anderen Möglichkeiten, um kopieren Sie die dns-Namen sind gebrochen.

    Dritte, erstellen Sie Ihre self-signed:

    $ openssl genrsa -out private.key 3072
$ openssl req -new -x509 -key private.key -sha256 -out certificate.pem -days 730
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
...

    Schließlich, überprüfen Sie das Zertifikat:

    $ openssl x509 -in certificate.pem -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 9647297427330319047 (0x85e215e5869042c7)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=MD, L=Baltimore, O=Test CA, Limited, CN=Test CA/[email protected]
        Validity
            Not Before: Feb  1 05:23:05 2014 GMT
            Not After : Feb  1 05:23:05 2016 GMT
        Subject: C=US, ST=MD, L=Baltimore, O=Test CA, Limited, CN=Test CA/[email protected]
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (3072 bit)
                Modulus:
                    00:e2:e9:0e:9a:b8:52:d4:91:cf:ed:33:53:8e:35:
                    ...
                    d6:7d:ed:67:44:c3:65:38:5d:6c:94:e5:98:ab:8c:
                    72:1c:45:92:2c:88:a9:be:0b:f9
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                34:66:39:7C:EC:8B:70:80:9E:6F:95:89:DB:B5:B9:B8:D8:F8:AF:A4
            X509v3 Authority Key Identifier: 
                keyid:34:66:39:7C:EC:8B:70:80:9E:6F:95:89:DB:B5:B9:B8:D8:F8:AF:A4

            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment, Certificate Sign
            X509v3 Subject Alternative Name: 
                DNS:example.com, DNS:www.example.com, DNS:mail.example.com, DNS:ftp.example.com
    Signature Algorithm: sha256WithRSAEncryption
         3b:28:fc:e3:b5:43:5a:d2:a0:b8:01:9b:fa:26:47:8e:5c:b7:
         ...
         71:21:b9:1f:fa:30:19:8b:be:d2:19:5a:84:6c:81:82:95:ef:
         8b:0a:bd:65:03:d1

    InformationsquelleAutor der Antwort jww

Schreibe einen Kommentar