我想basicConstraints=CA:TRUE,pathlen:0在我自己签名的CA创建脚本中包含一个约束,如果我不必创建配置文件和适当CA的所有文件夹结构,那么简化我的过程将会有很长的路要走.
我正在尝试创建一个只能签署最终证书的中间证书,而不是其他CA. 我将使用bouncycastle签署所有进一步的证书,无论如何我将不需要为正确的CA创建的文件夹结构.
Jim*_*ood 12
你不是需要在所有创建的OpenSSL的配置文件,或文件夹结构,创建使用OpenSSL自签名的证书.
例如,以下是最小的OpenSSL配置文件可能包含的内容,用于设置基本约束扩展,如下所示:
[req]
distinguished_name=dn
[ dn ]
[ ext ]
basicConstraints=CA:TRUE,pathlen:0
在这里,我使用OpenSSL从Bash shell创建一个自签名证书,只有这个"配置文件",它不是文件 - 它是一个shell变量:
CONFIG="
[req]
distinguished_name=dn
[ dn ]
[ ext ]
basicConstraints=CA:TRUE,pathlen:0
"
openssl req -config <(echo "$CONFIG") -new -newkey rsa:2048 -nodes \
-subj "/CN=Hello" -x509 -extensions ext -keyout key.pem -out crt.pem
祝好运!
basicConstraints无openssl.cnf我看不到如何避免完全使用它,但是使用默认配置并注释掉命令行设置的内容似乎足够有效。
-addext可多次使用给定一个已经存在privkey.pem的警告,例如 /etc/ssl/openssl.cnf没有相互矛盾的说明,以下内容似乎可以在没有bashism的情况下完成。
DAYS='240'
SUBJECT='/CN=example.com/O=Example Co./OU=Engineering/L=Boston/ST=MA/C=US'
SERIAL='0x1001'
openssl req \
-addext basicConstraints=critical,CA:TRUE,pathlen:1 \
-outform pem -out cacert.pem \
-key privkey.pem -new -x509 \
-days "${DAYS}" \
-subj "${SUBJECT}" \
-set_serial "${SERIAL}"
| 归档时间: |
|
| 查看次数: |
11211 次 |
| 最近记录: |