Oggetto Il nome alternativo nella richiesta di firma del certificato apparentemente non sopravvive alla firma

0

Quindi sono stato in grado di creare una richiesta di firma del certificato con un nome alternativo soggetto del modulo subjectAltName=IP:1.2.3.4 seguendo la ricetta in una precedente (splendida) risposta.

Quando ispeziono quel CSR con openssl req -in key.csr -text , posso vedere una sezione corrispondente:

Requested Extensions:
  X509v3 Subject Alternative Name: 
    IP Address:1.2.3.4

Quindi procedo a firmare il CSR con una chiave autofirmata in questo modo:

openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -CAcreateserial \
  -in key.csr -out key.crt

Il certificato risultante (quando ispezionato con openssl x509 -in key.crt -text ) non identifica più quella sezione.

Questo è solo un artefatto di parametri di visualizzazione o devo anche indicare openssl x509 che dovrebbe includere l'estensione quando fa la sua firma (e se sì, come)?

Sto usando OpenSSL su macOS High Sierra ( openssl version segnala LibreSSL 2.2.7 ) e non ho cambiato la sua configurazione dai valori predefiniti. Le chiavi verranno infine utilizzate tra i server Debian (Stretch), quindi potrei eseguire la generazione delle chiavi lì, se aiuta in questo contesto.

    
posta Drux 03.08.2018 - 11:28
fonte

1 risposta

1

Il seguente comando apparentemente risolve il problema:

openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -CAcreateserial \
  -extensions SAN \
  -extfile <(cat /etc/ssl/openssl.cnf \
    <(printf "\n[SAN]\nsubjectAltName=IP:1.2.3.4")) \
  -in key.csr -out key.crt

È stessa ricetta come per openssl req , ma con i due parametri extensions e extfile invece di reqexts e config .

Questo comando è stato utile per confermare rapidamente il risultato desiderato stampando la sezione pertinente:

openssl x509 -in key.crt -text | grep "Subject Alternative Name" -C 1
    
risposta data 03.08.2018 - 11:54
fonte

Leggi altre domande sui tag