Openssl

公用名稱超過 64 字節的 OpenSSL 自簽名證書

  • August 15, 2019

我可以使用 openSSL 創建一個自簽名證書,如下所示:

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days XXX -nodes

該介面以某種方式將我的通用名稱限制為 64 個字節。如何創建通用名稱超過 64 個字節的證書?

就我而言,“不要這樣做,這違反標準”的所有答案都非常無益,因為我需要將其作為逆向工程挑戰的一部分。就我而言,它違反標準這一事實並不重要。

以下是(粗略的)步驟:

  1. 從https://ftp.openbsd.org/pub/OpenBSD/LibreSSL/下載最新的 libressl 源(我使用 2.6.0,因為它是 macOS Mojave 上附帶的版本)
  2. 解壓/tar/gz 然後/crypto/asn1/a_mbstr.c在你喜歡的編輯器中打開
  3. 搜尋如下所示的內容:
if ((maxsize > 0) && (nchar > maxsize)) {
   ASN1error(ASN1_R_STRING_TOO_LONG);
   ERR_asprintf_error_data("maxsize=%ld", maxsize);
   return -1;
}

並將其註釋掉。對於 2.6.0 版本,這是在第 155-159 行。通過刪除這些行,您將刪除最大 CN 長度檢查。 4. 按照README文件中的說明建構二進製文件。我在 macOS 上建構時不需要安裝任何庫,但在 YMMV 上。我使用cmake了將新的 openssl 二進製文件放入/build/apps/openssl 5. 使用命令行標誌生成 CSR(閱讀:不是互動式工具——它有一個特殊的檢查,這個修改沒有修補!)。

例如:

/build/apps/openssl/openssl req -new -newkey rsa:2048 -nodes -out a.csr -keyout a.key -subj "/CN=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
  1. 使用庫存openssl二進製文件(或修改過的二進製文件,如果需要),簽署 CSR:
openssl x509 -req -in a.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out a.crt -days 500 -sha256

之後,您應該準備好可以使用的出色的不合規證書。我注意到在使用 CN 超過 64 個字元的證書時存在很多問題(Wireshark 會在分離器顯示中截斷 CN 等),但它確實可以滿足我的需要。

引用自:https://unix.stackexchange.com/questions/234324