Serveur Girl
  1. Serveur Girl
  3. Comment émettre un certificate SSL avec une extension SAN?
Intereting Posts
mdadm: puis-je reconnecter un disque USB comme SATA sans avoir besoin d'être reconstruite? Impossible de se connecter à MKS: Impossible de localiser l'exécutable vmware-authd CISCO – organise le NAT avec 2 WAN, 2VLAN et la basculement (en utilisant PBR / ip SLA)? Pauvre logiciel raid10 lire les performances sur Linux SONET ADM latence Conseils concernant SUID et sudo sur Ubuntu Server Des conseils sur l'effondrement d'un réseau physique? Utilisation d'Internet sur mon réseau Signature d'un set de règles de deployment Java JAR à l'aide des services de certificates AD Module win_chocolatey compatible – System.OutOfMemoryException error Pourquoi le journal apache requirejs-il d'OBTENIR http://www.google.com avec le code 200? Augmenter la charge en fonction du débit du pare-feu Comment puis-je avoir des périphériques USB fonctionnant dans VMware avec Linux comme hôte et WinXP en tant qu'invité? Linux n'émet pas de request arp Cisco ASA 5505: affectation VLAN de switchport

Comment émettre un certificate SSL avec une extension SAN?

J'ai une paire de keys racine CA. Comment émettre un nouveau certificate SSL avec une extension SAN (Sujet Autre Nom)? J'ai essayé ceci 

openssl genrsa -out ssl.key 2048 openssl req -new -config ssl.conf -key ssl.key -out ssl.csr openssl x509 -req -sha256 -days 3650 -CAcreateserial -CAkey root.key -CA root.crt -in ssl.csr -out ssl.crt

ssl.conf: 

 [req] prompt = no distinguished_name = req_distinguished_name x509_extensions = v3_ca [req_distinguished_name] CN = 127.0.0.1 [v3_ca] subjectAltName = @alt_names [alt_names] IP.1 = 127.0.0.1 IP.2 = ::1 DNS.1 = localhost

mais le certificate généré ne contenait pas de SAN.

Toutefois, le certificate auto-signé produit par la command ci-dessous contient SAN: 

 openssl req -new -x509 -sha256 -days 3650 -config ssl.conf -key ssl.key -out ssl.crt

  1. Mon CSR ne contenait pas de SAN. Les extensions doivent être spécifiées dans req_extensions au lieu de x509_extensions .
  2. Il y a un bug dans la command x509 :

    Les extensions dans les certificates ne sont pas transférées aux requests de certificates et vice versa.

J'ai donc résolu mon problème avec la command ca :

  1. Créé vide ca/newcerts dossier et vide ca/index.txt file.

  2. Edité ssl.conf : 

     [ca] default_ca = CA_default [CA_default] dir = ./ca database = $dir/index.txt new_certs_dir = $dir/newcerts serial = $dir/serial private_key = ./root.key certificatee = ./root.crt default_days = 3650 default_md = sha256 policy = policy_anything copy_extensions = copyall [policy_anything] countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional [req] prompt = no distinguished_name = req_distinguished_name req_extensions = v3_ca [req_distinguished_name] CN = 127.0.0.1 [v3_ca] subjectAltName = @alt_names [alt_names] IP.1 = 127.0.0.1 IP.2 = ::1 DNS.1 = localhost

  3. Commandes Ran: 

     openssl genrsa -out ssl.key 2048 openssl req -new -config ssl.conf -key ssl.key -out ssl.csr openssl ca -config ssl.conf -create_serial -batch -in ssl.csr -out ssl.crt