Hi,
Waldemar Brodkorb wrote,
> Hallo Andre,
> Andre Tann wrote,
>
> > Hallo zusammen,
> >
> > für meinen Apache habe ich mir einen certificate request erzeugt,
> > welcher mehrere SubjectAltName enthält:
> >
> >
> > # openssl req -text -noout -in server-req.pem
> > […]
> > Requested Extensions:
> > X509v3 Basic Constraints:
> > CA:FALSE
> > X509v3 Key Usage:
> > Digital Signature, Non Repudiation, Key Encipherment
> > X509v3 Subject Alternative Name:
> > DNS:example1.com, DNS:example2.com
> > […]
> >
> >
> >
> > Nun habe ich das Problem, daß beim Erzeugen des Zertifikates die
> > SubjectAltNames nicht übernommen werden:
> >
> >
> > # openssl ca -out server-cert.pem -infiles server-req.pem
> > […]
> > Check that the request matches the signature
> > Signature ok
> > The subjectAltName field needed to be supplied and was missing
> > […]
> >
> >
> >
> > Trotz längerer Googelei konnte ich keine Lösung dafür finden. Wie
> > kriege ich es also hin, daß im Zertifikat alle Werte übernommen werden,
> > die im Request in SubjectAltName notiert waren?
> >
> > Danke für einen Tip!
>
> Das Dokument ist zwar schon was älter, aber dort wurde eine Methode beschrieben:
> http://digilib.happy-security.de/files/ipsec_mit_openbsd_als_sichere_alternative.pdf
>
> Für zwei oder mehr SubjectAltNames muss die x509v3.cnf im Anhang
> entsprechend editiert werden.
>
> Aber die openssl Kommandos mit -extensions und so, sollten weiterhin
> gültig sein.
Beispiel:
$ cat x509v3.cnf
CERTFQDN1 = nohost1.nodomain
CERTFQDN2 = nohost2.nodomain
[x509v3_FQDN2]
subjectAltName=DNS:$ENV::CERTFQDN1,DNS:$ENV::CERTFQDN2
$ openssl ca -extfile x509v3.cnf -extensions x509v3_FQDN2 -out server.crt -infiles server.csr
Using configuration from /usr/lib/ssl/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 3 (0x3)
Validity
Not Before: Feb 22 14:35:06 2012 GMT
Not After : Feb 21 14:35:06 2013 GMT
Subject:
countryName = AU
stateOrProvinceName = Some-State
organizationName = Internet Widgits Pty Ltd
commonName = foo3.bar
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:nohost1.nodomain, DNS:nohost2.nodomain
Certificate is to be certified until Feb 21 14:35:06 2013 GMT (365
days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
$ openssl x509 -text -noout -in server.crt
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 3 (0x3)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=AU, ST=Some-State, O=Internet Widgits Pty Ltd
Validity
Not Before: Feb 22 14:35:06 2012 GMT
Not After : Feb 21 14:35:06 2013 GMT
Subject: C=AU, ST=Some-State, O=Internet Widgits Pty Ltd,
CN=foo3.bar
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (512 bit)
Modulus (512 bit):
00:ca:8a:5a:b9:fd:d8:a6:7b:58:61:a4:94:3c:02:
e3:01:b2:08:1a:43:cb:15:05:1f:a0:a6:55:a7:33:
a8:46:cc:2f:d3:33:3e:43:f6:88:c3:c9:16:fa:bd:
02:b4:3d:4e:f5:1f:97:8d:84:42:cd:44:9a:d8:d8:
eb:bb:2a:63:cd
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:nohost1.nodomain, DNS:nohost2.nodomain
Signature Algorithm: sha1WithRSAEncryption
3c:e2:95:26:fc:ef:2a:30:d7:5f:20:54:23:dd:b9:4e:5d:12:
c6:2c:71:a5:e2:f9:74:7a:ef:14:68:cf:e5:f9:3d:36:4a:0e:
54:bb:7b:67:f4:7c:e8:4d:9f:5f:14:1e:85:a4:dc:a0:8d:e3:
a7:0c:e4:c4:d2:70:8b:0c:00:aa
Just for completeness.
have fun
Waldemar
--
Linux Service & Support (Notdienst - Reparatur - Wartung)
Sie brauchen Hilfe bei Ihrem Linux-System?
Besuchen Sie doch meine Webseite unter http://www.lss-nrw.de/
Attachment:
signature.asc
Description: Digital signature