Скопируйте адрес электронной почты из SAN в DN во время процесса подписания с помощью openssl

У меня есть CSR для пользовательского сертификата без адреса электронной почты, указанного в его DN. Однако адрес электронной почты указан как расширение в альтернативном имени субъекта.

Теперь я хотел бы подписать этот запрос с помощью openssl и включить адрес электронной почты в полученное DN сертификата, т.е. адрес электронной почты должен быть скопирован из альтернативного имени субъекта в поле emailAddress в DN. Это вообще возможно с openssl?


openssl email ca csr
person Jacob    schedule 01.06.2017    source источник
comment
Stack Overflow — это сайт для вопросов по программированию и разработке. Этот вопрос кажется не по теме, потому что он не о программировании или разработке. См. раздел О каких темах я могу задать здесь в Справочном центре. Возможно, Суперпользователь или Unix & Linux Stack Exchange лучше спросить. См. также раздел Где размещать вопросы о Dev Ops?   -  person jww    schedule 01.06.2017
comment
Также см. Как вы подписываете запрос на подпись сертификата в своем центре сертификации и Как создать самозаверяющий сертификат с помощью openssl?   -  person jww    schedule 01.06.2017

Ответы (1)


arrow_upward
0
arrow_downward

Вы можете добавить новые атрибуты в тему сертификата X509, когда подписываете запрос на подпись сертификата с помощью команды openssl ca. Пример:

openssl ca -cert MyCA.cer -keyfile MyCA.pvk -config MyCA.config -in MyCertificate.req -out MyCertificate.cer -outdir . -subj /CN=MyNewName

Однако тема не имеет назначенного атрибута для электронной почты (согласно RFC 5280). . Итак, у вас есть два варианта:

  1. Используйте один из разрешенных атрибутов темы, чтобы сохранить новое электронное письмо (например, [email protected])
  2. Расширение сертификата SAN содержит специальное поле для электронной почты, и вы можете поместить его туда.
person Oleg    schedule 01.06.2017