Tob*_*ler 7 ssl openssl certificates
我知道,通过添加/修改SubjectAltName的条目openssl.cnf这可以实现,但有什么办法,而无需每次修改该文件这样做呢?
您不必openssl.cnf以任何方式弄乱文件。
以下命令演示了如何使用 SAN 为电子邮件生成自签名证书nobody@example.com:
openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes \
-keyout example.key -out example.crt -subj '/CN=Nobody' \
-extensions san \
-config <(echo '[req]'; echo 'distinguished_name=req';
echo '[san]'; echo 'subjectAltName=email:nobody@example.com')
这里的技巧是包含一个最小的[req]部分,该部分足以让 OpenSSL 在没有其主openssl.cnf文件的情况下正常运行。
在 OpenSSL 中?1.1.1,这可以缩短为:
openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes \
-keyout example.key -out example.crt -subj '/CN=Nobody' \
-addext 'subjectAltName=email:nobody@example.com'
这里我们使用的是新-addext选项,所以我们不再需要-extensions和-config了。
不要忘记验证生成的证书的内容:
openssl x509 -noout -text -in example.crt
另见:https : //security.stackexchange.com/a/198409/133603和/sf/answers/2895686461/
| 归档时间: |
|
| 查看次数: |
5079 次 |
| 最近记录: |