OpenSSL: как заставить запрашивать UID и включать его в сертификат?

0

2

Есть сервер с виртуалками и кучей сервисов на них, доступных по одному и тому же DNS-имени хоста, различаются только порты.
Хочется, чтобы для SSL-enabled сервисов генерировались сертификаты вида:

/C=RU/ST=Russia/O=Company/OU=IT/CN=test.host.domain/UID=ServiceID

Т.е., для примера ServiceID:

/C=RU/ST=Russia/O=Company/OU=IT/CN=test.host.domain/UID=PostgreSQL-testing

Меня бы устроил и такой вариант:

/C=RU/ST=Russia/O=Company/OU=IT/UID=PostgreSQL-testing+CN=test.host.domain

Попробовал в секцию req_distinguished_name прописать:

uid                      = ServerID or UserID (min. 3 letters, max 25 letters)
uid_min                  = 3 
uid_max                  = 25
uid_default              = WWW

Но это, ясен пень не работает: при генерации запроса даже вопроса такого про uid нет.

В общем, как бы это так сделать, чтобы при генерации сертификатов на один и тот же CN генерировались разные DN?

Ссылка

←	openwrt ip-камера Екатеринбург on-line

виртуальный юзер - настоящий юзер

→

Может проще не городить огород, а дописывать UID куда-нить в OU, типа IT+ServiceID?

blind_oracle ★★★★★
(17.01.13 09:35:21 MSK)

Ответ на: комментарий от blind_oracle 17.01.13 09:35:21 MSK

Правильный ответ: добавить userid в req_distinguished_name и его же в policy_match (optional). А вообще можно без req_distinguished_name обойтись элементарно: см. опцию -subj, в ней указывается полный DN сертификата, и если он подходит под policy_match - вам и слова дурного не скажут :)

DRVTiny ★★★★★
(17.01.13 11:42:56 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	openwrt ip-камера Екатеринбург on-line

Admin

виртуальный юзер - настоящий юзер

→

Похожие темы