Est-il possible de créer une demande de certificat PKCS # 10 / certificat X.509 avec les informations d'identification uniquement dans l'attribut / l'extension de nom alternatif du sujet? Selon X.509 4.1.2.6 Subject , le sujet peut être vide pour un certificat dont le sujet n'est pas une autorité de certification tant que subjectAltName est critique.
Mais lorsque j'utilise ce fichier de configuration avec une section de distinction_name vide:
# request.config
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[ req_distinguished_name ]
[ v3_req ]
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=critical,email:[email protected]
et commandes
openssl genrsa 1024 > key.pem
openssl req -new -key key.pem -out req.pem -config request.config
OpenSSL se plaint:
error, no objects specified in config file
problems making Certificate Request
C = US
signifie que "l'invite" pour C est "US", pas la valeur par défaut. Au lieu de cela, le fichier doit contenirC = Country
etC_default = US
.prompt = yes [or blank]
. Siprompt = no
alorsC = US
signifiait "US" est la valeur par défaut.Le problème vient de
prompt = no
la configuration d'origine. Qui fait duopenssl req
principe que vous l' intention de spécifier des entrées de sujet dans le fichier de configuration et frappe une vérification préliminaire en req.c .Il existe une solution de contournement: supprimez
prompt = no
et ajoutez plutôt-subj /
à votreopenssl req
ligne de commande. Voici un exemple de script qui produit à la fois une CSR et un certificat auto-signé:la source
Essayez «commonName = facultatif» dans les sections de stratégie du fichier de configuration openssl.
la source
Il semble que vous saisissiez une seule valeur du groupe '"distinction_nom" de votre clavier et cela fonctionne très bien ... Je veux dire que vous n'avez pas besoin d'entrer d'autres valeurs et pouvez utiliser leur valeur par défaut (comme mentionné dans le fichier openssl.conf) qui dit
la source