OpenSSL: Como criar um certificado com um DN de assunto vazio?

14

É possível criar uma solicitação de certificado PKCS # 10 / certificado X.509 com as informações de identificação apenas no atributo / extensão de nome alternativo do assunto? De acordo com X.509 4.1.2.6 Assunto , o assunto pode estar vazio para um certificado cujo assunto não seja uma CA, desde que o subjectAltName seja crítico.

Mas quando eu uso esse arquivo de configuração com uma seção vazia distinguished_name:

# request.config
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[ req_distinguished_name ]

[ v3_req ]
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=critical,email:[email protected]

e comandos

openssl genrsa 1024 > key.pem
openssl req -new -key key.pem -out req.pem -config request.config

O OpenSSL reclama:

error, no objects specified in config file
problems making Certificate Request
openssl x509 yonran
fonte

Respostas:

11

Isso funcionou para mim:

arquivo test-no-cn.cnf

[req] 
default_bits       = 4096
encrypt_key        = no
default_md         = sha256
distinguished_name = req_distinguished_name
req_extensions = v3_req

[ req_distinguished_name ]

[ v3_req ]
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=critical,email:[email protected],URI:http://example.com/,IP:192.168.7.1,dirName:dir_sect

[dir_sect]
C=DK
O=My Example Organization
OU=My Example Unit
CN=My Example Name

Gere o CSR

openssl req -new -newkey rsa:4096 -nodes -config test-no-cn.cnf -subj "/" -outform pem -out test-no-cn.csr -keyout test-no-cn.key

Assine o CSR

openssl x509 -req -days 365 -in test-no-cn.csr -signkey test-no-cn.key -out test-no-cn.crt -outform der -extensions v3_req -extfile test-no-cn.cnf

Exibir o certificado resultante

openssl x509 -inform der -in test-no-cn.crt -noout -text
bpawlak
fonte
8

Também encontrei esse erro "nenhum objeto especificado". Ele exibia um prompt como este para vários campos:

US []:

E eu estava apenas pressionando enter porque já havia definido esses valores no arquivo .cnf. Acontece que eu precisava digitar todos os valores novamente e funcionou.

Oran Dennison
fonte
Eu tive que fazer o mesmo. Apesar de colocar valores no arquivo de configuração, ele ainda solicitou todos os componentes DN novamente. Eu tive que repeti-los, mas funcionou pelo menos.
Nate W.
3
Isso ocorre porque o arquivo de configuração não contém valores padrão. C = USsignifica que o "prompt" para C é "US", não o valor padrão. Em vez disso, o arquivo deve conter C = Countrye C_default = US.
jordanbtucker
5
Ah, e isso é apenas se prompt = yes [or blank]. Se, prompt = noentão C = US, significaria "US" é o valor padrão.
jordanbtucker
3

O problema está prompt = nona configuração original. Isso faz openssl reqsupor que você pretende especificar entradas de assunto no arquivo de configuração e atinge uma verificação preliminar em req.c .

Existe uma solução alternativa: remova prompt = noe adicione -subj /à sua openssl reqlinha de comando. Aqui está um exemplo de script que produz um certificado CSR e um certificado autoassinado:

cat > openssl.cnf <<EOF
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req

[ req_distinguished_name ]

[ v3_req ]
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=critical,email:[email protected]
EOF
openssl req -newkey rsa:2048 -config openssl.cnf -nodes -new -subj "/" \
  -out req.csr
openssl req -newkey rsa:2048 -config openssl.cnf -nodes -new -subj "/" \
  -x509 -out cert.crt
jsha
fonte
2

Tente "commonName = opcional" nas seções de política do arquivo de configuração openssl.

Artem
fonte
1

Parece que você digitou qualquer valor único do grupo '"distinguished_name" do teclado e funciona bem ... Quero dizer que você não precisa inserir outros valores e pode usar o padrão (como mencionado no arquivo openssl.conf) que disse 

[ req ]
...
distinguished_name = req_distinguished_name
prompt = no
...

Should work fine.
hardeep
fonte