Pokouším se vytvořit csr na obrazu Amazon Linux AMI 2017.03.0.
Spustím následující příkaz pro vygenerování test.key
[root]# openssl genrsa -out test.key 2048
Generating RSA private key, 2048 bit long modulus
............+++
.........................+++
e is 65537 (0x10001)
[root]#
Potom spustím následující:
[root]# openssl req -new -sha256 -key test.key -out test.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
No template, please set one up.
problems making Certificate Request
[root]#
Zdá se, že „Žádná šablona, nastavte ji“ se vztahuje k souboru openssl.conf
Moje konfigurace openssl je následující:
[root]# pwd
/etc/ssl
[root]# ls -al
total 12
drwxr-xr-x 2 root root 4096 Apr 3 22:53 .
drwxr-xr-x 82 root root 4096 Apr 21 10:54 ..
lrwxrwxrwx 1 root root 16 Jan 20 23:25 certs -> ../pki/tls/certs
-rw-r--r-- 1 root root 138 Apr 3 22:53 openssl.cnf
[root]# cat openssl.cnf
[ ssl_client ]
basicConstraints = CA:FALSE
nsCertType = client
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth
[root]# rpm -q -a |grep openssl
openssl-1.0.1k-15.99.amzn1.x86_64
[root]#
Nezdá se, že by to bylo mnoho informací o vytváření šablon openssl, může mi někdo pomoci nebo mi dát odkaz na příklady nebo tutoriál.
Přijatá odpověď:
To, co máte ve stanze ssl_client, nebude platit při vytváření csr. To jsou ve skutečnosti rozšířené atributy x509v3, které k certifikátu běžně přidává CA při podepisování CSR a odkazuje na ně název stanzy:
openssl x509 ... -extensions ssl_client
Pokud potřebujete vyplnit pole předmětu, musíte použít něco jako:
openssl req -new -sha256 -key test.key -out test.csr -subj "/C=SM/ST=somecountry/L=someloc/O=someorg/OU=somedept/CN=example.com"
Existují také způsoby, jak zadat výchozí hodnoty pomocí req a req_distinguished_name sloka. Zadáním v req , nakonfigurujete výchozí hodnoty pro openssl req ... příkaz. Zadáním req_distinguished_name můžete nastavit omezení pro komponenty DN předmětu a také nastavit výchozí hodnoty pro interaktivní vytváření CSR, které obvykle vyvoláváte pomocí openssl req -new ... a podobně.
Výchozí hodnoty lze nastavit následovně:
[ req_distinguished_name ]
countryName_default = SM
stateOrProvinceName_default = somecountry
localityName_default = someloc
...
Existují dvě úžasné stránky, na které obvykle odkazuji, když chci něco udělat s příkazovým řádkem openssl:
Související:Magento – Konfigurovatelné produkty a sada atributů?https://jamielinux.com/docs/openssl-certificate-authority/appendix/root-configuration-file.html
https://www.phildev.net/ssl/opensslconf.html