Modifica oggetto certificato utilizzando il comando OpenSSL x509

3

Sto costruendo una CA basata sugli strumenti da riga di comando di OpenSSL. Non voglio usare lo strumento openssl ca e il suo database basato su file, ma creo i certificati usando lo strumento openssl x509 direttamente e assegnando un seriale casuale. (Voglio gestire le revoche, i periodici e le politiche da solo.)

Tutto funziona, il problema è che la riga dell'oggetto viene copiata direttamente dal CSR nel certificato quando si rilascia un nuovo certificato. Voglio essere in grado di scavalcare l'argomento. Sfortunatamente il comando x509 non fornisce un parametro -subj <arg> come fa il comando ca .

Come soluzione alternativa, ho provato a riscrivere il CSR stesso. Posso facilmente cambiare argomento usando openssl req -in oldcsr.pem -subj "newsubj" -out newcsr.pem . Ma ovviamente la firma CSR non è più valida e openssl x509 lamenta che "la firma non corrisponde alla richiesta di certificato". E non ho trovato un modo semplice per ignorare la firma.

Esiste un modo per ignorare l'oggetto di una CSR quando si genera un certificato, senza utilizzare lo strumento openssl ca ?

    
posta Danilo Bargen 05.04.2016 - 15:15
fonte

1 risposta

1

Il mio esempio:

Genera un certificato autofirmato (e una chiave privata)

$ openssl req -x509 -nodes -days 365 -newkey rsa:2048 -sha256 -keyout mydomain_rsa.PEM.key -out mydomain.PEM.csr -subj "/C=CN/O=Company Inc."
   Generating a 2048 bit RSA private key  
   ..........................+++  
   ........+++  
   writing new private key to 'mydomain_rsa.PEM.key'  
   -----  

Visualizza l'oggetto

$ openssl x509 -noout -serial -subject -in mydomain.PEM.csr
  serial=CCC8F2F4B4BEDBAC
  subject= /C=CN/O=Company Inc.

Modifica l'oggetto

openssl req -x509 -in mydomain.PEM.csr -subj '/O=Company2 Inc.' -key mydomain_rsa.PEM.key -out new_mydomain.PEM.csr

Visualizza l'oggetto del nuovo certificato

$ openssl x509 -noout -serial -subject -in new_mydomain.PEM.csr
  serial=A873BD71BCD0DFF7
  subject= /O=Company2 Inc
    
risposta data 31.07.2017 - 16:57
fonte

Leggi altre domande sui tag