Wie Problem-Zertifikats für eine Entität mit custom-DN-format?
In unserer Anwendung, die wir erstellen Zertifikate für interne Entitäten wie Plattform und Nutzer. Unsere interne Entitäten werden identifiziert, indem Sie benutzerdefinierte DNs:
- Plattform DN: p=platformName
- Benutzer-DN: cn=userName,p=platformName
Wir haben versucht, zu generieren X. 509-Zertifikat für die Plattform oder ein Benutzer mit den gängigen tools wie openssl, Dienstprogramm keytool, Implementierung von javax.Sicherheit (BouncyCastle), z.B.:
keytool -genkey -dname "p=platformName" -alias platformName
Diejenigen allerdings, die tools nicht akzeptieren/erkennen /Stichwort "P" oder verlangen, dass bestimmte keywords wie "CN" im Zertifikat subject DN.
Wie Problem-Zertifikats für eine Entität mit custom-DN-format?
Hinweis: brauchen Wir nicht zu haben-DNs mit standard-keywords (CN, OU, etc.), denn alle Zertifikate werden für die interne Verwendung unserer Produkte (wird nicht validiert durch 3rd-party oder in certificate chain).
Du musst angemeldet sein, um einen Kommentar abzugeben.
Attribute oder Felder, die angezeigt werden, eine Präsentation-level-Details. Es gibt keine definierten
DN
Feld per se. Die Felder verwendet, um die form derDN
sind ein mashup von anderen Parametern und sind willkürlich gewählt. Die häufigsten sindC
,O
,OU
,CN
usw.Attribute oder Felder wie
C
,O
,OU
,CN
haben bekannte OIDs zugeordnet. Es gibt andere OIDs, die Sie verwenden können, die anerkannt sind durch Werkzeuge. Zum Beispiel, die ITU X. 520 Liste Hunderte von Ihnen. Es gibt andere standards, erklären Sie auch. Zum Beispiel, die E-Mail-Adresse-Attribut ist aus PKCS 9 und ein OID von 1.2.840.113549.1.9.1.Als Burhan Khalid angegeben, Sie können auch fügen Sie Ihren eigenen Namen/Wert-Paare, indem Sie sich OIDs (einige hand waiving). Aber auch andere Präsentations-tools nicht wissen, wie um Sie anzuzeigen. Das heißt, Sie wissen nicht, den "friendly name".
Weil andere tools nicht erkennen, Ihre OID für die Nutzung der Plattform (oder "p=..."), das ist, warum Sie immer ... diese tools nicht akzeptieren/erkennen /Stichwort "P". Die tools, die don T wissen, wie man mit benutzerdefinierten Parametern.
Kann ich nur sprechen für openssl, wie ich bin nicht vertraut mit anderen tools.
Aus der openssl docs
Also, was Sie tun müssen ist, erstellen Sie diese oids in
/etc/openssl.conf
oder wo auch immer die Datei für Ihre Plattform, dann openssl nicht geben Ihnen dieSubject attribute p has no known NID, skipped
Nachricht, die ich vermute, ist, was Sie jetzt zu bekommen.