LINUX.ORG.RU
ФорумAdmin

странное поведение OpenSSL при создании CSR

 ,


1

2

Хотел автоматизировать генерацию CSR, но столкнулся с расхождениями в поведении OpenSSL.

Если делать 

openssl req -newkey rsa:1024 -nodes -keyout host.key -out host.csr
и вводить данные вручную (только organization и common name, остальное поля пустые), то CSR и сертификат получаются корректными.

Если же сделать 

openssl req -newkey rsa:1024 -nodes -subj "/O=company/CN=host" -keyout host.key -out host.csr
то при использовании полученного сертификата в целевом ПО обнаруживается, что сертификат имеет некорректный CN. Если посмотреть TLS сессию сниффером, то заметно, что в каком-то из полей стоит значение company,CN=host, а не каждое на своём месте.

Сам OpenSSL в текстовом дампе показывает одинаковые subject в обоих случаях 

Subject: O=company, CN=host

выбор интерфйса в exim4 на основе From
как определить что забивает swap?

Могу только предположить что оно в subj ожидает между O и CN еще и OU или что-то в таком духе.

В любом случае проще сделать конфиг, если хочешь SAN в сертификате, то без него никак, как раз на днях делал: 

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req

[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = RU

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow

localityName = Locality Name (eg, city)
localityName_default = Moscow

0.organizationName = Organization Name (eg, company)
0.organizationName_default = CJSC Roga und Kopyta

organizationalUnitName  = Organizational Unit Name (eg, section)
organizationalUnitName_default  = IT Department

commonName = Common Name (eg, YOUR name)
commonName_default = *.domain.ru
commonName_max = 64

emailAddress = Email Address
emailAddress_max = 64
emailAddress_default = admin@domain.ru

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = domain.ru
Ну и 
openssl req -new -key wildard.domain.key -sha256 -out wildard.domain.ru.csr -config wildard.domain.ru.cnf
Всё получается как надо

blind_oracle ★★★★★
()

rsa:1024

А что мешает перейти на 2048+ ?Не то что бы 1024 совсем ужасно,но на конец 2014 года как-то не комильфо такие сертификаты использовать.

GNU-Ubuntu1204LTS ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
выбор интерфйса в exim4 на основе From
Admin
как определить что забивает swap?