자체 서명된 인증서를 만들려고 합니다.
- CA 개인 키 생성:
openssl genrsa -out ca.key 2048
- CA 인증서 생성(
ca.cnf
아래 참조):openssl req -x509 -new -key ca.key -out ca.crt -days 10000 -config ca.cnf
- 서비스 개인 키 생성:
openssl genrsa -out cert.key 2048
- CSR을 생성합니다(
node.cnf
아래 참조):openssl req -new -key cert.key -out cert.csr -config node.cnf
- 서버 인증서 생성:
openssl x509 -req -in cert.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out cert.crt -days 100
그런 다음 내 SAN이 채워졌는지 확인하려고 합니다.
알겠어요:
openssl x509 -noout -ext subjectAltName -in cert.crt
No extensions in certificate
어떤 아이디어가 있나요?
ca.cnf
파일은 다음과 같습니다
# OpenSSL CA configuration file
[ ca ]
default_ca = CA_default
[ CA_default ]
default_days = 365
database = index.txt
serial = serial.txt
default_md = sha256
copy_extensions = copy
unique_subject = no
# Used to create the CA certificate.
[ req ]
prompt=no
distinguished_name = distinguished_name
x509_extensions = extensions
[ distinguished_name ]
organizationName = jeusdi
commonName = cicdgitops
[ extensions ]
keyUsage = critical,digitalSignature,nonRepudiation,keyEncipherment,keyCertSign
basicConstraints = critical,CA:true,pathlen:1
# Common policy for nodes and users.
[ signing_policy ]
organizationName = supplied
commonName = optional
# Used to sign node certificates.
[ signing_node_req ]
keyUsage = critical,digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth,clientAuth
# Used to sign client certificates.
[ signing_client_req ]
keyUsage = critical,digitalSignature,keyEncipherment
extendedKeyUsage = clientAuth
node.cnf
:
# OpenSSL node configuration file
[ req ]
prompt=no
distinguished_name = distinguished_name
req_extensions = extensions
[ distinguished_name ]
organizationName = jeusdi
[ extensions ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = registry.localhost
DNS.2 = host.k3d.internal
답변1
그 사람을 위해OpenSSL X509다음과 같이 말해보세요:
-extfile 파일 이름
사용할 인증서 확장이 포함된 파일입니다. 지정하지 않으면 확장명이 인증서에 추가되지 않습니다.
-extfile
이 옵션을 사용하여 -extensions
openssl이 올바른 확장명을 가리키도록 할 수 있습니다 . 다음과 같이 사용할 파일 -extfile node.cnf
과 부분을 알려주어야 합니다 -extensions extensions
.
$ openssl x509 -req -in cert.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out cert.crt -days 100 -extfile node.cnf -extensions extensions
그러면 다음을 얻게 됩니다:
$ openssl x509 -noout -ext subjectAltName -in cert.crt
X509v3 Subject Alternative Name:
DNS:registry.localhost, DNS:host.k3d.internal