2

Мне нужно отправить CSR (запрос на подпись сертификата) в центр SSL для нашего SSL-сертификата нашего домена. В поле CN (общее имя) я вижу странные значения, например, CN=\x00*\x00.\x00e\x00x\x00a\x00m\x00p\x00l\x00e\x00.\x00c\x00o\x00m . Если я генерирую CSR без подстановочных знаков, значение CN будет таким, как ожидалось: CN=www.example.com .

Почему в CSR есть символы \x00 в CSR для подстановочного домена?

Это нормально, все ли (HTTPS) будет работать правильно?


Я нахожусь в стабильной Debian (Wheezy), версия пакета openssl 1.0.1e-2+deb7u11.

$ openssl version
OpenSSL 1.0.1e 11 Feb 2013

Вот как я создал CSR:

$ openssl req -new -newkey rsa:2048 -nodes -keyout wildcard.key -out wildcard.csr
Generating a 2048 bit RSA private key
.....................................+++
.......................................+++
writing new private key to 'wildcard.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CZ
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Это информация о сертификате:

$ openssl req -text -noout -verify -in wildcard.csr
verify OK
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=CZ, ST=Some-State, O=Internet Widgits Pty Ltd, CN=\x00*\x00.\x00e\x00x\x00a\x00m\x00p\x00l\x00e\x00.\x00c\x00o\x00m
        Subject Public Key Info:
...

1 ответ1

1

В openssl.conf есть опция string_mask . Когда он установлен по default . тогда CN может быть закодирован с использованием BMPString (если я правильно помню), и это производит \x00 с.

Сегодня (openssl.conf говорит "Рекомендация PKIX после 2004 года"), значение должно быть установлено в utf8only: string_mask = utf8only . Тогда CN тогда выглядит "нормально":

Subject: C=AU, ST=Some-State, O=Internet Widgits Pty Ltd, CN=*.example.com

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .