OpenSSL: Как создать сертификат с пустым DN субъекта?

Question

Можно ли создать запрос сертификата PKCS # 10 / сертификат X.509 с идентифицирующей информацией только в атрибуте / расширении альтернативного имени субъекта? В соответствии с X.509 4.1.2.6 Subject субъект может быть пустым для сертификата, субъектом которого не является CA, если subjectAltName является критическим.

Но когда я использую этот конфигурационный файл с пустым разделом отличительного имени:

# request.config
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[ req_distinguished_name ]

[ v3_req ]
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=critical,email:certtest@example.com

и команды

openssl genrsa 1024 > key.pem
openssl req -new -key key.pem -out req.pem -config request.config

OpenSSL жалуется:

error, no objects specified in config file
problems making Certificate Request

Answer 1

Это сработало для меня:

файл test-no-cn.cnf

[req] 
default_bits       = 4096
encrypt_key        = no
default_md         = sha256
distinguished_name = req_distinguished_name
req_extensions = v3_req

[ req_distinguished_name ]

[ v3_req ]
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=critical,email:certtest@example.com,URI:http://example.com/,IP:192.168.7.1,dirName:dir_sect

[dir_sect]
C=DK
O=My Example Organization
OU=My Example Unit
CN=My Example Name

Генерация CSR

openssl req -new -newkey rsa:4096 -nodes -config test-no-cn.cnf -subj "/" -outform pem -out test-no-cn.csr -keyout test-no-cn.key

Подпишите CSR

openssl x509 -req -days 365 -in test-no-cn.csr -signkey test-no-cn.key -out test-no-cn.crt -outform der -extensions v3_req -extfile test-no-cn.cnf

Посмотреть полученный сертификат

openssl x509 -inform der -in test-no-cn.crt -noout -text

Answer 2

Я также столкнулся с этой ошибкой "объекты не указаны". Это отображало подсказку как это для различных полей:

US []:

И я просто нажимал Enter, потому что я уже установил эти значения в файле .cnf. Оказывается, мне нужно было снова ввести все значения, и тогда это сработало.

Answer 3

Попробуйте "commonName = необязательно" в разделах политики в файле конфигурации openssl.

Answer 4

Кажется, вы вводите одно единственное значение из группы "отличительное имя" с клавиатуры, и оно работает нормально ...Я имею в виду, что вам не нужно вводить другие значения и вы можете использовать их значения по умолчанию (как указано в файле openssl.conf), в которых указано

[ req ]
...
distinguished_name = req_distinguished_name
prompt = no
...

Should work fine.

Answer 5

Проблема с prompt = no в исходном конфиге. Это заставляет openssl req предполагать, что вы намереваетесь указать записи субъекта в файле конфигурации, и выполняет предварительную проверку в req.c.

Существует обходной путь: удалите prompt = no и вместо этого добавьте -subj / в командную строку openssl req . Вот пример сценария, который создает как CSR, так и самозаверяющий сертификат:

cat > openssl.cnf <<EOF
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req

[ req_distinguished_name ]

[ v3_req ]
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=critical,email:certtest@example.com
EOF
openssl req -newkey rsa:2048 -config openssl.cnf -nodes -new -subj "/" \
  -out req.csr
openssl req -newkey rsa:2048 -config openssl.cnf -nodes -new -subj "/" \
  -x509 -out cert.crt