OpenSSL: как генерировать CSR с в интерактивном режиме требуемыми Подчиненными Альтернативными Именами (SAN)?
Piwik кажется быть стоящим попытки. Но вся информация, которую я собрал, сказала мне, что это не столь завершено как пострел - но я думаю, что это - ничто для удивления о.
Так как вопрос непосредственно не связан с администрированием сервера, которое это могла бы быть хорошая идея проверить в веб-мастерах.
Я сам боролся с этим маленьким самородком ... что за PITA!
Мое решение: я переместил весь файл openssl.cnf в файл Template Toolkit, оставив только sans кусок в качестве замены, затем обернул вокруг него сценарий Perl.
Сценарий perl запрашивает записи SAN, затем вставляет их в шаблон, сохраняет шаблон во временный файл, а затем я вызываю openssl req с помощью -config опция указала на временный файл. удалите временный файл после создания CSR.
Вы также можете посмотреть: http://www.openssl.org/docs/apps/config.html
Есть другие, которые отменяют $ ENV непосредственно перед выполнением и оберните вызов openssl req в perl или оболочку и выполните то же самое чуть более эффективным образом: http: //blog.loftninjas. org / 2008/11/11 / configuring-ssl-requests-with-subjectaltname-with-openssl /
Этого «subjectAltName» не должно быть в этом разделе: attributes = req_attributes. Но в разделе для req_extensions = (называйте это как хотите).
И нет необходимости во всех BS вроде
subjectAltName = Alternative subject names
subjectAltName_default = DNS:www.g00gle.com
Просто введите то, что вы хотите, сколько вы хотите:
subjectAltName = DNS:*.g00gle.com, DNS:g00gle.com, DNS:192.168.1.2
(Последний делает внутренние доступ вроде " https://192.168.1.2 " без предупреждения)
Что-то вроде:
[ req ]
req_extensions = my_extensions
[my_extensions]
subjectAltName = DNS:*.g00gle.com, DNS:g00gle.com, DNS:192.168.1.2
Ура!
Тоже ищу решение. И это то, что вы хотите:
[req]
default_bits = 2048
default_key_file = private.key.pem
...
...
attributes = req_attributes
[req_attributes]
subjectAltName = Alternative DNS names, Email adresses or IPs (comma seperated list)
#optional default value
subjectAltName_default = DNS:myhost.com.au,IP:127.0.0.1,EMAIL:my@here.org
И вы можете получить это, запросив альтернативные имена субъектов:)
#openssl req -in mytest1/temp.csr.pem -noout -text
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=DE, ST=Sachsen, L=Heidenau, O=IT Rab\xC3\xB6se, OU=ssl
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:d8:cd:14:ca:d0:06:6c:8c:11:e9:52:bc:46:39:
c1:cf:5a:6e:dd:3b:a8:85:15:6b:13:82:82:4a:48:
cb:53:ea:70:ea:f4:02:b2:ef:b1:41:b2:d7:11:c7:
11:ba:07:1b:be:8c:30:bc:60:d2:82:83:a1:e1:19:
75:3b:69:03:01:3c:2b:7b:85:f4:2e:a9:58:68:8f:
0e:f4:5e:50:e1:3f:9e:cf:46:a0:eb:69:aa:1e:cb:
3a:99:cb:1d:93:60:d0:3b:38:96:87:45:19:51:f4:
40:72:e5:a7:5e:62:37:41:44:48:64:47:95:14:97:
4f:27:d0:0c:e7:6f:c1:e1:37
Exponent: 65537 (0x10001)
Attributes:
X509v3 Subject Alternative Name:DNS:www.google.de,EMAIL:im@you.org
Signature Algorithm: sha1WithRSAEncryption
9d:2b:e4:eb:1b:c0:b6:0b:b4:62:a7:4d:01:68:98:68:36:98:
1e:e9:bc:59:24:0f:1b:32:7b:da:9d:39:a4:0f:2c:70:3e:aa:
f7:07:e7:6b:9b:3b:00:b3:71:e0:54:07:78:c7:6e:57:e3:89:
07:e1:93:f1:77:e7:cc:0e:d0:ed:c5:d0:a3:5d:1a:cd:bb:d8:
5f:64:25:81:1b:a8:2f:ef:c7:84:7a:f6:b8:52:4e:4c:1c:8d:
83:b7:9b:02:8e:b2:39:68:a1:fe:f1:59:8b:e0:c4:91:f1:a9:
c7:b3:82:a3:d2:92:2b:e5:79:9f:29:b6:63:e7:cf:9d:17:98:
fe:70
Я не верю, что то, о чем вы просите, возможно. Я также искал, как сделать то же самое, и просматривая документацию в разделе ОШИБКИ, мы видим:
Текущие подсказки не очень дружелюбны. Это не позволяет вам подтвердить то, что вы только что ввели. Другие вещи, такие как расширения в запросах сертификатов, статически определены в файле конфигурации. Некоторые из них: например, адрес электронной почты в subjectAltName должен быть введен пользователем.
Это означает, по крайней мере для меня, что, к сожалению, это можно указать только с помощью жесткого кодирования в файле конфигурации.