web-dev-qa-db-ja.com

opensslを使用して自己署名証明書を生成するときに拡張キー使用法の文字列を追加する方法

Mac OS X 10.9でopensslを使用して、Windows Serverリモートデスクトップサービス用の自己署名証明書を生成しています。

以下のコマンドを使用して、証明書を生成できます。

   openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout myserver.key -out myserver.crt

ただし、拡張キー使用法文字列Server Authentication(1.3.6.1.5.5.7.3.1)を追加する必要があるため、上記のコマンドでその方法を理解できません。

これを含むファイルでopensslオプション-extfileを使用してみましたが、

[= default ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1

しかし、「-extfileオプションが見つかりません」というエラーが表示されます

10
joshu

openssl x509-extfileを使用しますが、使用しているコマンドopenssl reqは、構成ファイルを指定するために-configを必要とします。

したがって、次のようなコマンドを使用できます。

openssl req -x509 -config cert_config -extensions 'my server exts' -nodes \
            -days 365 -newkey rsa:4096 -keyout myserver.key -out myserver.crt

識別名ビットの通常のプロンプトは、デフォルトの構成ファイル(おそらくOS Xでは/System/Library/OpenSSL/openssl.cnf)で定義されていますが、-configを使用するとこのファイルは処理されないため、構成ファイルもいくつかのDNビットを含みます。したがって、上記で参照したcert_configは次のようになります。

[ req ]
Prompt             = no
distinguished_name = my dn

[ my dn ]
# The bare minimum is probably a commonName
            commonName = secure.example.com
           countryName = XX
          localityName = Fun Land
      organizationName = MyCo LLC LTD INC (d.b.a. OurCo)
organizationalUnitName = SSL Dept.
   stateOrProvinceName = YY
          emailAddress = [email protected]
                  name = John Doe
               surname = Doe
             givenName = John
              initials = JXD
           dnQualifier = some

[ my server exts ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1
# 1.3.6.1.5.5.7.3.1 can also be spelled serverAuth:
# extendedKeyUsage = serverAuth

# see x509v3_config for other extensions

コメントに示されているように、DNフィールドのほとんどを省略することができます。 HTTPSを使用する場合、必要なのはホスト名と一致するCNだけです。


識別名と属性セクションの形式セクションreq(1) の変更方法を示します複数の同様の証明書/リクエストを生成したい場合は、上記の設定で値を要求する(およびデフォルト値を提供する)。

他の証明書拡張が必要な​​場合は、拡張セクションで指定できる他のビットについて、 x509v3_config(5) を確認してください。

9
Chris Johnsen