Wie kann ich erstellen ein selbst signiertes Zertifikat mit SubjectAltName mit OpenSSL?

Ich versuche zum generieren eines selbstsignierten Zertifikats mit OpenSSL mit SubjectAltName.Während ich die Generierung der csr für das Zertifikat, meine Vermutung ist, ich habe mit v3 Erweiterungen OpenSSL x509.
Ich bin mit :

openssl req -new -x509 -v3 -key private.key -out certificate.pem -days 730

Kann mir jemand helfen mit dem genauen syntax?

Siehe auch so erstellen Sie ein selbst-signiertes Zertifikat mit openssl? Es bietet Informationen zum erstellen eines Zertifikats mit dem Betreff Alternative Namen, und sagt Ihnen, andere Regeln gelten, so dass das Zertifikat haben die größte chance auf Erfolg mit Browsern und anderen user-agents.

InformationsquelleAutor mohanjot | 2014-01-31

  1. 143

    Kann mir jemand helfen mit dem genauen syntax?

    Seine ein drei-Schritt-Prozess, und es umfasst das ändern openssl.cnf - Datei. Sie könnten in der Lage sein, es zu tun, nur mit Kommandozeilen-Optionen, aber ich Tue es nicht so.

    Finden Sie Ihren openssl.cnf - Datei. Es ist wahrscheinlich befindet es sich in /usr/lib/ssl/openssl.cnf:

    $ find /usr/lib -name openssl.cnf
/usr/lib/openssl.cnf
/usr/lib/openssh/openssl.cnf
/usr/lib/ssl/openssl.cnf

    Auf meinem Debian-system /usr/lib/ssl/openssl.cnf verwendet wird, durch die integrierte openssl Programm. Auf aktuellen Debian-Systemen befindet es sich an /etc/ssl/openssl.cnf

    Können Sie bestimmen, welche openssl.cnf verwendet wird, durch hinzufügen einer fadenscheinigen XXX auf die Datei und sehen, ob openssl drosseln.

    Erste, ändern die req Parameter. Hinzufügen eines alternate_names Abschnitt openssl.cnf mit dem Namen, den Sie verwenden möchten. Es gibt keine vorhandenen alternate_names Abschnitte, also spielt es keine Rolle, wo Sie es hinzufügen.

    [ alternate_names ]

DNS.1        = example.com
DNS.2        = www.example.com
DNS.3        = mail.example.com
DNS.4        = ftp.example.com

    Als Nächstes fügen Sie den folgenden, um die bestehenden [ v3_ca ] Abschnitt. Suche nach der genauen Zeichenfolge [ v3_ca ]:

    subjectAltName      = @alternate_names

    Könnten Sie ändern keyUsage folgenden unter [ v3_ca ]:

    keyUsage = digitalSignature, keyEncipherment

    digitalSignature und keyEncipherment sind standard-Jahrmarkt für ein server-Zertifikat. Mach dir keine sorgen über nonRepudiation. Seine ein nutzloses etwas ausgedacht comp sci Jungs, die es werden wollten Anwälte. Es bedeutet nichts in der juristischen Welt.

    In der Ende, der IETF (RFC 5280), Browser und CAs laufen schnell und Locker, so ist es wahrscheinlich egal, was Schlüsselverwendung Sie stellen.

    Zweite, ändern Sie die Unterzeichnung Parameter. Finden Sie diese Zeile unter die CA_default Abschnitt:

    # Extension copying option: use with caution.
# copy_extensions = copy

    Und zu ändern:

    # Extension copying option: use with caution.
copy_extensions = copy

    Dieser sorgt für die SANs sind, werden in das Zertifikat. Die anderen Möglichkeiten, um kopieren Sie die dns-Namen sind gebrochen.

    Dritte, erstellen Sie Ihre self-signed:

    $ openssl genrsa -out private.key 3072
$ openssl req -new -x509 -key private.key -sha256 -out certificate.pem -days 730
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
...

    Schließlich, überprüfen Sie das Zertifikat:

    $ openssl x509 -in certificate.pem -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 9647297427330319047 (0x85e215e5869042c7)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=MD, L=Baltimore, O=Test CA, Limited, CN=Test CA/[email protected]
        Validity
            Not Before: Feb  1 05:23:05 2014 GMT
            Not After : Feb  1 05:23:05 2016 GMT
        Subject: C=US, ST=MD, L=Baltimore, O=Test CA, Limited, CN=Test CA/[email protected]
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (3072 bit)
                Modulus:
                    00:e2:e9:0e:9a:b8:52:d4:91:cf:ed:33:53:8e:35:
                    ...
                    d6:7d:ed:67:44:c3:65:38:5d:6c:94:e5:98:ab:8c:
                    72:1c:45:92:2c:88:a9:be:0b:f9
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                34:66:39:7C:EC:8B:70:80:9E:6F:95:89:DB:B5:B9:B8:D8:F8:AF:A4
            X509v3 Authority Key Identifier: 
                keyid:34:66:39:7C:EC:8B:70:80:9E:6F:95:89:DB:B5:B9:B8:D8:F8:AF:A4

            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment, Certificate Sign
            X509v3 Subject Alternative Name: 
                DNS:example.com, DNS:www.example.com, DNS:mail.example.com, DNS:ftp.example.com
    Signature Algorithm: sha256WithRSAEncryption
         3b:28:fc:e3:b5:43:5a:d2:a0:b8:01:9b:fa:26:47:8e:5c:b7:
         ...
         71:21:b9:1f:fa:30:19:8b:be:d2:19:5a:84:6c:81:82:95:ef:
         8b:0a:bd:65:03:d1
    Ich habe gerade kopiert, die openssl-Datei und angepasst werden. Dann wird alles mit: openssl genrsa -out cert.key 3072 -nodes openssl req -new -x509 -key cert.key -sha256 -config openssl.cnf -out cert.crt -days 730 -subj "/C=US/ST=private/L=province/O=city/CN=hostname.example.com"
    Es ist auch ein schöner trick, um diese flexibler mit Umgebungsvariablen beschrieben, die hier: subjectAltName=$ENV::ALTNAME (und stellen Sie den env. var ALTNAME=DNS:example.com,DNS:other.example.net).
    Beachten Sie, dass Sie verwenden IP statt DNS für alternate_names wenn Sie gerade arbeiten, eine ip-Adresse. Sie können auch kopieren Sie die config-Datei lokal, und dann geben Sie es auf die openssl-Kommandozeile mit -config my_config.cnf. Und haben Sie vielleicht kommentieren Sie req_extensions = v3_req.
    Ich habe nie das arbeiten auf OSX, aber mit der erf.conf-Vorlage unter diesem link funktioniert wie ein Charme: support.citrix.com/article/CTX135602 (ich würde extrahieren Sie die Daten in eine Antwort, aber diese Frage wurde unhelpfully geschlossen)
    für einige Grund, es ist nicht wie die subjectAltName = @alternate_names unter v3_ca Abschnitt. Könnte es ein Tippfehler? Hier ist die Fehlermeldung bekomme ich: Fehler:22097069:X509 V3-Routinen:DO_EXT_NCONF:ungültige Erweiterung string:v3_conf.c:139:name=subjectAltName,Abschnitt=@alternate_names 140487468840608:Fehler:22098080:X509 V3-Routinen:X509V3_EXT_nconf:Fehler in der extension:v3_conf.c:93:name=subjectAltName, Wert=@alternate_names

    InformationsquelleAutor jww

Schreibe einen Kommentar