[解決済み] OpenSSLを使用してSubjectAltName付きの自己署名証明書を生成するには?[クローズド]
質問内容
私はそれにSubjectAltNameとOpenSSLで自己署名証明書を生成しようとしています。私は証明書のcsrを生成している間、私の推測は、私がOpenSSL x509のv3拡張を使用しなければならないことです。 私は使用しています。
openssl req -new -x509 -v3 -key private.key -out certificate.pem -days 730
どなたか正確な構文について教えてください。
どのように解決するには?
誰かが正確な構文で私を助けることができますか?
これは3つのステップから成り立ちます。
openssl.cnf
ファイルを変更する必要があります。コマンドラインオプションだけでできるかもしれませんが、私はそのような方法はとりません。
あなたの
openssl.cnf
ファイルを見つけてください。おそらく、以下の場所にあります。
/usr/lib/ssl/openssl.cnf
:
$ find /usr/lib -name openssl.cnf
/usr/lib/openssl.cnf
/usr/lib/openssh/openssl.cnf
/usr/lib/ssl/openssl.cnf
私の
Debian
システムで
/usr/lib/ssl/openssl.cnf
が使われるのは、組み込みの
openssl
プログラムによって使用されます。最近の Debian システムでは、これは
/etc/ssl/openssl.cnf
どの
openssl.cnf
が使用されているかどうかを判断するには、偽の
XXX
を追加し
openssl
が詰まるかどうか。
まず
req
パラメータを修正します。まず
alternate_names
セクションを
openssl.cnf
に、使いたい名前をつけてください。既存の
alternate_names
セクションは存在しないので、どこに追加してもかまいません。
[ alternate_names ]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.3 = mail.example.com
DNS.4 = ftp.example.com
次に、以下を
既存の
[ v3_ca ]
のセクションを参照してください。正確な文字列を検索する
[ v3_ca ]
:
subjectAltName = @alternate_names
を変更することができます。
keyUsage
の下を次のように変更します。
[ v3_ca ]
:
keyUsage = digitalSignature, keyEncipherment
digitalSignature
そして
keyEncipherment
は、サーバー証明書の標準的な料金です。については心配しないでください。
nonRepudiation
. これは弁護士になりたかったコンピュータ・サイエンスの連中が考え出した無駄なものです。法律の世界では何の意味もありません。
結局のところ IETF ( RFC 5280 )、ブラウザとCAは速く緩く動くので、おそらくあなたが提供する鍵の使い方は重要ではありません。
第二に、署名パラメータを変更します。この行を
CA_default
セクションの下にあるこの行を見つけます。
# Extension copying option: use with caution.
# copy_extensions = copy
と変更する。
# Extension copying option: use with caution.
copy_extensions = copy
これにより、SANが証明書にコピーされるようになります。DNS 名をコピーする他の方法は壊れています。
3つ目は、自己署名証明書を生成することです。
$ openssl genrsa -out private.key 3072
$ openssl req -new -x509 -key private.key -sha256 -out certificate.pem -days 730
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
...
最後に、証明書を調べます。
$ openssl x509 -in certificate.pem -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 9647297427330319047 (0x85e215e5869042c7)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=MD, L=Baltimore, O=Test CA, Limited, CN=Test CA/[email protected]
Validity
Not Before: Feb 1 05:23:05 2014 GMT
Not After : Feb 1 05:23:05 2016 GMT
Subject: C=US, ST=MD, L=Baltimore, O=Test CA, Limited, CN=Test CA/[email protected]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (3072 bit)
Modulus:
00:e2:e9:0e:9a:b8:52:d4:91:cf:ed:33:53:8e:35:
...
d6:7d:ed:67:44:c3:65:38:5d:6c:94:e5:98:ab:8c:
72:1c:45:92:2c:88:a9:be:0b:f9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
34:66:39:7C:EC:8B:70:80:9E:6F:95:89:DB:B5:B9:B8:D8:F8:AF:A4
X509v3 Authority Key Identifier:
keyid:34:66:39:7C:EC:8B:70:80:9E:6F:95:89:DB:B5:B9:B8:D8:F8:AF:A4
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment, Certificate Sign
X509v3 Subject Alternative Name:
DNS:example.com, DNS:www.example.com, DNS:mail.example.com, DNS:ftp.example.com
Signature Algorithm: sha256WithRSAEncryption
3b:28:fc:e3:b5:43:5a:d2:a0:b8:01:9b:fa:26:47:8e:5c:b7:
...
71:21:b9:1f:fa:30:19:8b:be:d2:19:5a:84:6c:81:82:95:ef:
8b:0a:bd:65:03:d1
関連
-
[解決済み] をカールします。(35) error:1408F10B:SSLルーチン:ssl3_get_record:バージョン番号が間違っています。
-
[解決済み] Firefoxです。"このページの一部は、画像など安全ではありません。" 何をもって安全でないと判断するのでしょうか?
-
[解決済み] Certbot が見つかりません。
-
[解決済み] openssl s_client -cert: クライアント証明書がサーバーに送信されたことを証明する
-
[解決済み] OpenSSLを使用して自己署名入りSSL証明書を生成する方法を教えてください。
-
[解決済み] .keyと.crtファイルから.pemファイルを取得する方法は?
-
[解決済み] .pemを.crtと.keyに変換する
-
[解決済み】自己署名付きlocalhost証明書をChromeが受け入れるようにする方法
-
[解決済み】Javaクライアントでサーバーの自己署名入りssl証明書を受け入れる。
-
[解決済み] node.js、socket.ioのSSL化
最新
-
nginxです。[emerg] 0.0.0.0:80 への bind() に失敗しました (98: アドレスは既に使用中です)
-
htmlページでギリシャ文字を使うには
-
ピュアhtml+cssでの要素読み込み効果
-
純粋なhtml + cssで五輪を実現するサンプルコード
-
ナビゲーションバー・ドロップダウンメニューのHTML+CSSサンプルコード
-
タイピング効果を実現するピュアhtml+css
-
htmlの選択ボックスのプレースホルダー作成に関する質問
-
html css3 伸縮しない 画像表示効果
-
トップナビゲーションバーメニュー作成用HTML+CSS
-
html+css 実装 サイバーパンク風ボタン
おすすめ
-
[解決済み】ハンドシェイクに失敗しました。SSLアラート番号40
-
[解決済み】SSL接続が確立できません。SSL証明書を修正するにはどうしたらいいですか?
-
[解決済み] Firefoxです。"このページの一部は、画像など安全ではありません。" 何をもって安全でないと判断するのでしょうか?
-
[解決済み] Curl CURL (51) SSL エラーを修正: 代替となる証明書のサブジェクト名が一致しません。
-
[解決済み] OpenSSLを使用して自己署名入りSSL証明書を生成する方法を教えてください。
-
[解決済み] HTTPSのURLは暗号化されていますか?
-
[解決済み] NGINXでWebソケットをリバースプロキシし、SSL(wss://)を有効にするには?
-
[解決済み] IISExpressでのSSL接続・接続解除について
-
[解決済み] 紛失したIIS Express SSL証明書を復元するにはどうすればよいですか?
-
[解決済み] Letsencryptが既存の証明書にドメインを追加する【非公開