Sto costruendo una CA basata sugli strumenti da riga di comando di OpenSSL. Non voglio usare lo strumento openssl ca
e il suo database basato su file, ma creo i certificati usando lo strumento openssl x509
direttamente e assegnando un seriale casuale. (Voglio gestire le revoche, i periodici e le politiche da solo.)
Tutto funziona, il problema è che la riga dell'oggetto viene copiata direttamente dal CSR nel certificato quando si rilascia un nuovo certificato. Voglio essere in grado di scavalcare l'argomento. Sfortunatamente il comando x509
non fornisce un parametro -subj <arg>
come fa il comando ca
.
Come soluzione alternativa, ho provato a riscrivere il CSR stesso. Posso facilmente cambiare argomento usando openssl req -in oldcsr.pem -subj "newsubj" -out newcsr.pem
. Ma ovviamente la firma CSR non è più valida e openssl x509
lamenta che "la firma non corrisponde alla richiesta di certificato". E non ho trovato un modo semplice per ignorare la firma.
Esiste un modo per ignorare l'oggetto di una CSR quando si genera un certificato, senza utilizzare lo strumento openssl ca
?