Openssl

如何通過命令行將多個電子郵件地址添加到 SSL 證書?

  • December 28, 2018

我知道可以通過添加/修改其中的SubjectAltName條目來實現openssl.cnf,但是有沒有辦法做到這一點而不必每次都修改該文件?

您不必openssl.cnf以任何方式處理文件。

以下命令展示如何使用 SAN 為電子郵件生成自簽名證書nobody@example.com

openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes \
 -keyout example.key -out example.crt -subj '/CN=Nobody' \
 -extensions san \
 -config <(echo '[req]'; echo 'distinguished_name=req';
           echo '[san]'; echo 'subjectAltName=email:nobody@example.com')

這裡的訣竅是包含一個[req]足以讓 OpenSSL 在沒有其主openssl.cnf文件的情況下相處的最小部分。

在 OpenSSL ≥ 1.1.1 中,這可以縮短為:

openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes \
 -keyout example.key -out example.crt -subj '/CN=Nobody' \
 -addext 'subjectAltName=email:nobody@example.com'

這裡我們使用的是新-addext選項,所以我們不再需要-extensionsand-config了。

不要忘記驗證生成證書的內容:

openssl x509 -noout -text -in example.crt

另請參閱:https ://security.stackexchange.com/a/198409/133603和https://stackoverflow.com/a/41366949/19163

引用自:https://unix.stackexchange.com/questions/63209

相關問答

Openssl

未找到 keyUsage 命令(用於在非互動模式下創建證書)

  • May 8, 2022
檢視問答
Openssl

SSL:未填充 SAN

  • April 27, 2022
檢視問答
Openssl

如何從 Linux 中的證書鏈中提取根 CA 和從屬 CA?

  • October 29, 2021
檢視問答
Nginx

無法獲取本地頒發者證書(但我信任的 CA 證書商店似乎還可以)

  • July 30, 2021
檢視問答
Openssl

創建 *.local ssl 證書

  • January 13, 2021
檢視問答
Apache-Httpd

當 DNS 為我提供多個 IP 地址之一時,如何驗證特定電腦的證書?

  • July 25, 2020
檢視問答