Dies ist der Befehl reqssl, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
req – PKCS#10-Zertifikatanforderungs- und Zertifikatsgenerierungsdienstprogramm.
ZUSAMMENFASSUNG
openssl req [-informieren PEM|DER] [-übertreffen PEM|DER] [-in Dateinamen] [-vorbei arg] [-aus
Dateinamen] [-ohnmächtig werden arg] [-Text] [-Kneipe] [-nein] [-verifizieren] [-Modul] [-Neu] [-Rand
Datei (en)] [-neuer Schlüssel rsa:bits] [-neuer Schlüssel alg:Datei] [-Knoten] [-Schlüssel Dateinamen] [-Schlüsselform PEM|DER]
[-keyout Dateinamen] [-keygen_engine id] [-[verdauen]] [-config Dateinamen] [-multivalue-rdn]
[-x509] [-Tage n] [-set_seriell n] [-asn1-kludge] [-no-asn1-kludge] [-newhdr] [-Erweiterungen
Abschnitt] [-reqexts Abschnitt] [-utf8] [-nameopt] [-reqopt] [-Gegenstand] [-subj arg] [-Charge]
[-verbose] [-Motor id]
BESCHREIBUNG
Die req Der Befehl erstellt und verarbeitet hauptsächlich Zertifikatanforderungen im PKCS#10-Format. Es
können zusätzlich selbstsignierte Zertifikate erstellen, um sie beispielsweise als Root-CAs zu verwenden.
COMMAND OPTIONAL
-informieren DER|PEM
Dies gibt das Eingabeformat an. Der DER Die Option verwendet ein ASN1-DER-codiertes Formular
kompatibel mit PKCS#10. Der PEM form ist das Standardformat: Es besteht aus
DER Format Base64 kodiert mit zusätzlichen Kopf- und Fußzeilen.
-übertreffen DER|PEM
Dies gibt das Ausgabeformat an, die Optionen haben die gleiche Bedeutung wie die -informieren
.
-in Dateinamen
Dies gibt den Namen der Eingabedatei an, aus der eine Anfrage gelesen werden soll, oder die Standardeingabe, wenn dies der Fall ist
Option ist nicht angegeben. Eine Anfrage wird nur gelesen, wenn die Erstellungsoptionen (-Neu und
-neuer Schlüssel) sind nicht angegeben.
-vorbei arg
die Passwortquelle der Eingabedatei. Weitere Informationen zum Format von arg finden Sie in der
PASS PHRASE ARGUMENTE Abschnitt in openssl(1).
-aus Dateinamen
Dies gibt den Namen der Ausgabedatei an, in die standardmäßig geschrieben werden soll, oder die Standardausgabe.
-ohnmächtig werden arg
die Passwortquelle der Ausgabedatei. Weitere Informationen zum Format von arg finden Sie in der
PASS PHRASE ARGUMENTE Abschnitt in openssl(1).
-Text
druckt die Zertifikatsanforderung in Textform aus.
-Gegenstand
druckt den Antragsbetreff (oder ggf. den Zertifikatsbetreff) aus -x509 angegeben)
-Kneipe
gibt den öffentlichen Schlüssel aus.
-nein
diese Option verhindert die Ausgabe der codierten Version der Anfrage.
-Modul
diese Option gibt den Wert des Moduls des öffentlichen Schlüssels aus, der in der
anfordern.
-verifizieren
überprüft die Signatur der Anfrage.
-Neu
Diese Option generiert eine neue Zertifikatsanforderung. Der Benutzer wird zur Eingabe aufgefordert
relevanten Feldwerte. Die tatsächlich abgefragten Felder sowie deren Maximum und Minimum
Größen werden in der Konfigurationsdatei und allen angeforderten Erweiterungen angegeben.
Besitzt das -Schlüssel Wird diese Option nicht verwendet, wird ein neuer privater RSA-Schlüssel generiert
Informationen, die in der Konfigurationsdatei angegeben sind.
-subj arg
Ersetzt das Betrefffeld der Eingabeanforderung durch die angegebenen Daten und gibt die geänderten Ausgaben aus
Anfrage. Das Argument muss formatiert sein als /type0=value0/type1=value1/type2=..., Figuren
kann durch \ (Backslash) maskiert werden, es werden keine Leerzeichen übersprungen.
-Rand Datei (en)
eine Datei oder Dateien mit Zufallsdaten, die zum Seeding des Zufallszahlengenerators verwendet werden, oder ein
EGD-Buchse (siehe RAND_egd(3)). Mehrere Dateien können durch ein Betriebssystem getrennt angegeben werden.
abhängiger Charakter. Das Trennzeichen ist ; für MS-Windows, , für OpenVMS und : für alle
Andere.
-neuer Schlüssel arg
Diese Option erstellt eine neue Zertifikatsanforderung und einen neuen privaten Schlüssel. Das Argument
nimmt eine von mehreren Formen an. rsa:nbits, Wobei nbits ist die Anzahl der Bits, erzeugt eine
RSA-Schlüssel nbits in Größe. Wenn nbits wird weggelassen, d.h -neuer Schlüssel rsa angegeben, die Standardeinstellung
Es wird die in der Konfigurationsdatei angegebene Schlüsselgröße verwendet.
Alle anderen Algorithmen unterstützen das -neuer Schlüssel alg:Datei Form, wobei Datei ein Algorithmus sein kann
Parameterdatei, erstellt von der genpkey -genparam Befehl oder und X.509-Zertifikat für
ein Schlüssel mit entsprechendem Algorithmus.
param:Datei generiert einen Schlüssel anhand der Parameterdatei oder des Zertifikats Datei, der Algorithmus
wird durch die Parameter bestimmt. algname:datei Algorithmus verwenden algname und Parameterdatei
Datei: Die beiden Algorithmen müssen übereinstimmen, sonst tritt ein Fehler auf. algname Verwendet nur einen Algorithmus
algname, und Parameter, falls erforderlich, sollten über angegeben werden -pkeyopt Parameters.
dsa:Dateiname generiert einen DSA-Schlüssel anhand der Parameter in der Datei Dateinamen.
ec:Dateiname generiert einen EC-Schlüssel (sowohl mit ECDSA- als auch mit ECDH-Algorithmen verwendbar),
gost2001:Dateiname generiert den GOST R 34.10-2001-Schlüssel (erfordert ccgost Motor konfiguriert
in der Konfigurationsdatei). Wenn nur got2001 angegeben wird, wie ein Parametersatz sein soll
spezifiziert durch -pkeyopt Parametersatz:X
-pkeyopt opt:Wert
Legen Sie die Option für den öffentlichen Schlüsselalgorithmus fest wählen zu Wert. Der genaue Satz unterstützter Optionen
hängt vom verwendeten Public-Key-Algorithmus und seiner Implementierung ab. Sehen SCHLÜSSEL GENERATION
OPTIONAL in England, genpkey Weitere Informationen finden Sie auf der Handbuchseite.
-Schlüssel Dateinamen
Dies gibt die Datei an, aus der der private Schlüssel gelesen werden soll. Es akzeptiert auch das PKCS#8-Format
Private Schlüssel für Dateien im PEM-Format.
-Schlüsselform PEM|DER
das Format der privaten Schlüsseldatei, die in angegeben ist -Schlüssel Streit. PEM ist die Standardeinstellung.
-keyout Dateinamen
Dies gibt den Dateinamen an, in den der neu erstellte private Schlüssel geschrieben werden soll. Wenn diese Option ist
nicht angegeben, wird der in der Konfigurationsdatei vorhandene Dateiname verwendet.
-Knoten
Wenn diese Option angegeben ist, wird ein privater Schlüssel bei der Erstellung nicht verschlüsselt.
-[verdauen]
Dies gibt den Nachrichtenauszug an, mit dem die Anfrage signiert werden soll (z. B -md5, -sha1). Dies
überschreibt den in der Konfigurationsdatei angegebenen Digest-Algorithmus.
Einige Public-Key-Algorithmen können diese Auswahl außer Kraft setzen. Zum Beispiel DSA-Signaturen
Verwenden Sie immer SHA1, GOST R 34.10-Signaturen verwenden Sie immer GOST R 34.11-94 (-md_gost94).
-config Dateinamen
Dadurch kann eine alternative Konfigurationsdatei angegeben werden. Diese überschreibt die
Dateiname zur Kompilierungszeit oder ein beliebiger in der Datei angegebener Dateiname OPENSSL_CONF variable Umgebung
-subj arg
Legt den Betreffnamen für eine neue Anfrage fest oder ersetzt den Betreffnamen bei der Verarbeitung einer
Anfrage. Das Argument muss formatiert sein als /type0=value0/type1=value1/type2=...,
Zeichen können durch \ (Backslash) maskiert werden, Leerzeichen werden nicht übersprungen.
-multivalue-rdn
Diese Option bewirkt, dass das Argument -subj mit vollständiger Unterstützung interpretiert wird
mehrwertige RDNs. Beispiel:
/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John Damhirschkuh
Wenn -multi-rdn nicht verwendet wird, gilt der UID-Wert 123456+CN=John Damhirschkuh.
-x509
Diese Option gibt ein selbstsigniertes Zertifikat anstelle einer Zertifikatsanforderung aus. Das
wird normalerweise zum Generieren eines Testzertifikats oder einer selbstsignierten Stammzertifizierungsstelle verwendet. Der
Dem Zertifikat hinzugefügte Erweiterungen (falls vorhanden) werden in der Konfigurationsdatei angegeben.
Sofern nicht mit dem angegeben set_serial Bei dieser Option wird eine große Zufallszahl verwendet
die Seriennummer.
-Tage n
wenn das -x509 Wird die Option verwendet, gibt sie die Anzahl der Tage für die Zertifizierung an
Zertifikat für. Der Standardwert beträgt 30 Tage.
-set_seriell n
Seriennummer, die bei der Ausgabe eines selbstsignierten Zertifikats verwendet werden soll. Dies kann angegeben werden
als Dezimalwert oder Hexadezimalwert, wenn vorangestellt 0x. Es ist möglich, Negativ zu verwenden
Seriennummern, dies wird jedoch nicht empfohlen.
-Erweiterungen Abschnitt
-reqexts Abschnitt
Diese Optionen geben alternative Abschnitte an, um Zertifikatserweiterungen einzuschließen (falls die
-x509 Option ist vorhanden) oder Zertifikatsanforderungserweiterungen. Dadurch sind mehrere möglich
Verschiedene Abschnitte, die in derselben Konfigurationsdatei verwendet werden sollen, um Anforderungen für a anzugeben
Vielzahl von Zwecken.
-utf8
Diese Option bewirkt, dass Feldwerte standardmäßig als UTF8-Zeichenfolgen interpretiert werden
als ASCII interpretiert. Dies bedeutet, dass die Feldwerte, unabhängig davon, ob sie von einem angefordert werden
Terminal oder aus einer Konfigurationsdatei bezogen werden, müssen gültige UTF8-Zeichenfolgen sein.
-nameopt ganz ohne irgendetwas tun oder drücken zu müssen.
Option, die bestimmt, wie die Namen des Antragstellers oder des Ausstellers angezeigt werden. Die ganz ohne irgendetwas tun oder drücken zu müssen.
Argument kann eine einzelne Option oder mehrere durch Kommas getrennte Optionen sein.
Alternativ kann die -nameopt switch kann mehr als einmal verwendet werden, um mehrere Optionen einzustellen.
Weitere Informationen im x509(1) Handbuchseite für Details.
-reqopt
Passen Sie das Ausgabeformat an, das mit verwendet wird -Textdem „Vermischten Geschmack“. Seine ganz ohne irgendetwas tun oder drücken zu müssen. Argument kann ein einziges sein
Option oder mehrere durch Kommas getrennte Optionen.
Siehe Diskussion des -zertopt Parameter in der x509 Befehl.
-asn1-kludge
standardmäßig die req Der Befehl gibt Zertifikatanforderungen aus, die keine Attribute enthalten
das richtige PKCS#10-Format. Bestimmte Zertifizierungsstellen akzeptieren jedoch nur Anfragen, die Folgendes enthalten:
Keine Attribute in ungültiger Form: Diese Option erzeugt dieses ungültige Format.
Genauer gesagt die Attribute in einer PKCS#10-Zertifikatsanforderung werden als definiert SET OF
Attribut. Sie sind nicht OPTIONAL Wenn also keine Attribute vorhanden sind, sollten sie vorhanden sein
als leer kodiert SET OF. Das ungültige Formular enthält nicht das Leerzeichen SET OF während
Die richtige Form reicht aus.
Es ist zu beachten, dass nur noch sehr wenige Zertifizierungsstellen die Verwendung dieser Option vorschreiben.
-no-asn1-kludge
Kehrt die Wirkung von um -asn1-kludge
-newhdr
Fügt das Wort hinzu NEU in die Kopf- und Fußzeilen der PEM-Datei in der ausgegebenen Anforderung.
Einige Software (Netscape-Zertifikatserver) und einige Zertifizierungsstellen benötigen dies.
-Charge
nicht interaktiver Modus.
-verbose
Drucken Sie zusätzliche Details zu den ausgeführten Vorgängen.
-Motor id
Angabe einer Engine (durch ihre eindeutige id Zeichenfolge) verursacht req versuchen, a . zu erhalten
Funktionsreferenz auf die angegebene Engine und initialisiert diese bei Bedarf. Die
Engine wird dann als Standard für alle verfügbaren Algorithmen festgelegt.
-keygen_engine id
spezifiziert eine Engine (durch ihre Einzigartigkeit). id string), der für die Schlüsselgenerierung verwendet wird
Operationen.
CONFIGURATION FILE FORMAT
Die Konfigurationsmöglichkeiten sind im angegeben req Abschnitt der Konfigurationsdatei. Als
mit allen Konfigurationsdateien, wenn im spezifischen Abschnitt kein Wert angegeben ist (d. h req)
dann der anfängliche unbenannte oder Standard Abschnitt wird ebenfalls durchsucht.
Die verfügbaren Optionen werden im Folgenden ausführlich beschrieben.
Passwort eingeben Ausgabepasswort
Die Passwörter für die private Eingabeschlüsseldatei (sofern vorhanden) und den privaten Ausgabeschlüssel
Datei (falls eine erstellt wird). Die Befehlszeilenoptionen passin und ohnmächtig werden Override
die Werte der Konfigurationsdatei.
default_bits
Gibt die Standardschlüsselgröße in Bits an.
Diese Option wird in Verbindung mit dem -Neu Option zum Generieren eines neuen Schlüssels. Es kann
kann durch Angabe einer expliziten Schlüsselgröße im überschrieben werden -neuer Schlüssel Möglichkeit. Das kleinste
Die akzeptierte Schlüsselgröße beträgt 512 Bit. Wenn keine Schlüsselgröße angegeben ist, werden 2048 Bit verwendet.
default_keyfile
Dies ist der Standarddateiname, in den ein privater Schlüssel geschrieben wird. Wenn nicht angegeben, lautet der Schlüssel
in die Standardausgabe geschrieben. Dies kann überschrieben werden -keyout .
oid_file
Dies gibt eine Datei an, die zusätzliche enthält OBJEKT IDENTIFIKATIONEN. Jede Zeile der Datei
sollte aus der numerischen Form der Objektkennung gefolgt von Leerzeichen bestehen
dann der Kurzname, gefolgt von Leerzeichen und schließlich der Langname.
oid_section
Dies gibt einen Abschnitt in der Konfigurationsdatei an, der zusätzliche Objekte enthält
Bezeichner. Jede Zeile sollte aus dem Kurznamen des Objektbezeichners bestehen
gefolgt von = und die numerische Form. Dabei sind die Kurz- und Langnamen gleich
Option verwendet wird.
RANDFILE
Dies gibt einen Dateinamen an, in dem Zufallszahlen-Seed-Informationen abgelegt und gelesen werden
von, oder einer EGD-Buchse (siehe RAND_egd(3)). Es wird für die Generierung privater Schlüssel verwendet.
encrypt_key
Wenn dies auf eingestellt ist nicht Wenn dann ein privater Schlüssel generiert wird, ist dies der Fall nicht verschlüsselt. Das ist
äquivalent zu der -Knoten Befehlszeilenoption. Aus Kompatibilitätsgründen encrypt_rsa_key ist ein
gleichwertige Option.
default_md
Diese Option gibt den zu verwendenden Digest-Algorithmus an. Mögliche Werte sind: md5 sha1
mdc2. Wenn nicht vorhanden, wird MD5 verwendet. Diese Option kann im Befehl überschrieben werden
Linie.
string_mask
Diese Option maskiert die Verwendung bestimmter Zeichenfolgentypen in bestimmten Feldern. Die meisten Benutzer
Sie müssen diese Option nicht ändern.
Es können mehrere Werte eingestellt werden Standard Dies ist auch die Standardoption, die verwendet wird
PrintableStrings, T61Strings und BMPStrings, wenn die pkix Der Wert wird dann nur verwendet
Es werden PrintableStrings und BMPStrings verwendet. Dies folgt der PKIX-Empfehlung in
RFC2459. Wenn die Nur utf8 Wenn die Option verwendet wird, werden nur UTF8Strings verwendet: Dies ist
die PKIX-Empfehlung in RFC2459 nach 2003. Schließlich die nombstr Option verwendet nur
PrintableStrings und T61Strings: Bestimmte Software hat Probleme mit BMPStrings und
UTF8Strings: insbesondere Netscape.
req_extensions
Dies gibt den Abschnitt der Konfigurationsdatei an, der eine Liste der hinzuzufügenden Erweiterungen enthält
zur Zertifikatsanfrage. Es kann durch überschrieben werden -reqexts Befehlszeilenschalter.
Weitere Informationen im x509v3_config(5) Handbuchseite für Einzelheiten zum Format des Erweiterungsabschnitts.
x509_extensions
Dies gibt den Abschnitt der Konfigurationsdatei an, der eine Liste der hinzuzufügenden Erweiterungen enthält
zum Zertifikat, das generiert wird, wenn die -x509 Schalter verwendet wird. Es kann durch überschrieben werden
-Erweiterungen Befehlszeilenschalter.
Eingabeaufforderung
wenn auf den Wert gesetzt nicht Dadurch wird die Eingabeaufforderung für Zertifikatsfelder deaktiviert und nur übernommen
Werte direkt aus der Konfigurationsdatei. Es ändert auch das erwartete Format der
Distinguished Name und Attribute .
utf8
wenn auf den Wert gesetzt ja Dann werden die Feldwerte als UTF8-Zeichenfolgen interpretiert
Standardmäßig werden sie als ASCII interpretiert. Dies bedeutet, dass die Feldwerte, ob
Von einem Terminal angefordert oder aus einer Konfigurationsdatei abgerufen, muss gültiges UTF8 sein
Saiten.
Attribute
Dies gibt den Abschnitt an, der alle Anforderungsattribute enthält: Das Format ist dasselbe
as Distinguished Name. Normalerweise können diese das ChallengePassword oder enthalten
unstrukturierteName-Typen. Sie werden derzeit von der Anforderungssignierung von OpenSSL ignoriert
Dienstprogramme, aber einige Zertifizierungsstellen möchten sie möglicherweise.
Distinguished Name
Dies gibt den Abschnitt an, der die Distinguished-Name-Felder enthält, nach deren Eingabe gefragt werden soll
Generieren eines Zertifikats oder einer Zertifikatsanforderung. Das Format wird im Folgenden beschrieben
.
AUSGEZEICHNET NAME/FUNKTION UND ATTRIBUT SEKTION FORMAT
Es gibt zwei separate Formate für die Abschnitte „Distinguished Name“ und „Attribut“. Wenn die
Eingabeaufforderung Option ist auf eingestellt nicht dann bestehen diese Abschnitte nur aus Feldnamen und Werten: for
Beispiel
CN=Mein Name
OU=Meine Organisation
emailAddress=[E-Mail geschützt]
Dadurch können externe Programme (z. B. GUI-basiert) eine Vorlagendatei mit allen generieren
Feldnamen und Werte und übergeben Sie sie einfach an req. Ein Beispiel für eine solche Konfiguration
Datei ist in der enthalten Beispiele: .
Alternativ, wenn die Eingabeaufforderung Option fehlt oder ist nicht eingestellt nicht dann enthält die Datei ein Feld
auffordernde Informationen. Es besteht aus Zeilen der Form:
fieldName="prompt"
fieldName_default="Standardfeldwert"
fieldName_min= 2
fieldName_max= 4
„fieldName“ ist der verwendete Feldname, zum Beispiel commonName (oder CN). Die „Eingabeaufforderung“
string wird verwendet, um den Benutzer zur Eingabe der relevanten Details aufzufordern. Wenn der Benutzer nichts eingibt
dann wird der Standardwert verwendet. Wenn kein Standardwert vorhanden ist, wird das Feld weggelassen. A
Das Feld kann immer noch weggelassen werden, wenn ein Standardwert vorhanden ist, wenn der Benutzer nur das „.“ eingibt.
Charakter.
Die Anzahl der eingegebenen Zeichen muss zwischen fieldName_min und fieldName_max liegen
Grenzen: Abhängig vom verwendeten Feld können zusätzliche Einschränkungen bestehen (z. B
„countryName“ darf immer nur zwei Zeichen lang sein und muss in einen PrintableString passen.
Einige Felder (z. B. OrganizationName) können in einem DN mehr als einmal verwendet werden. Dies stellt eine dar
Problem, da Konfigurationsdateien nicht erkennen, dass derselbe Name zweimal vorkommt. Zu
Vermeiden Sie dieses Problem, wenn der Feldname einige Zeichen gefolgt von einem Punkt enthält
wird ignoriert. So kann beispielsweise durch Aufruf ein zweiter Organisationsname eingegeben werden
„1.Organisationsname“.
Die tatsächlich zulässigen Feldnamen sind beliebige Kurz- oder Langnamen für Objektbezeichner. Diese sind
in OpenSSL kompiliert und enthalten die üblichen Werte wie commonName, CountryName,
Ortsname, Organisationsname, Organisationseinheitsname, StateOrProvinceName. Zusätzlich
emailAddress umfasst neben Vor- und Nachname auch die Initialen des Vornamens und den dnQualifier.
Zusätzliche Objektbezeichner können mit definiert werden oid_file or oid_section Optionen in
die Konfigurationsdatei. Alle zusätzlichen Felder werden so behandelt, als wären sie ein
DirectoryString.
Beispiele:
Zertifikatsanforderung prüfen und verifizieren:
openssl req -in req.pem -text -verify -noout
Erstellen Sie einen privaten Schlüssel und generieren Sie daraus eine Zertifikatsanforderung:
openssl genrsa -out key.pem 2048
openssl req -new -key key.pem -out req.pem
Das Gleiche, aber nur mit req:
openssl req -newkey rsa:2048 -keyout key.pem -out req.pem
Generieren Sie ein selbstsigniertes Stammzertifikat:
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out req.pem
Beispiel einer Datei, auf die von verwiesen wird oid_file Option:
1.2.3.4 shortName Ein längerer Name
1.2.3.6 otherName Anderer längerer Name
Beispiel für einen Abschnitt, auf den verwiesen wird oid_section Nutzung der Variablenerweiterung:
testoid1=1.2.3.5
testoid2=${testoid1}.6
Beispielkonfigurationsdatei zur Eingabe von Feldwerten:
[erforderlich]
default_bits = 2048
default_keyfile = privkey.pem
Distinguished_Name = Req_Distinguished_Name
attributes = req_attributes
x509_extensions = v3_ca
dirstring_type = nobmp
[ req_distinguished_name ]
CountryName = Ländername (2-Buchstaben-Code)
CountryName_default = AU
CountryName_min = 2
CountryName_max = 2
localityName = Ortsname (z. B. Stadt)
organisatorischerUnitName = Name der Organisationseinheit (z. B. Abschnitt)
commonName = Allgemeiner Name (z. B. IHR Name)
commonName_max = 64
emailAddress = E-Mail-Adresse
emailAddress_max = 40
[ req_attributes ]
ChallengePassword = Ein Challenge-Passwort
ChallengePassword_min = 4
ChallengePassword_max = 20
[v3_ca]
subjectKeyIdentifier=Hash
AuthorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = CA:true
Beispielkonfiguration mit allen Feldwerten:
RANDFILE = $ENV::HOME/.rnd
[erforderlich]
default_bits = 2048
default_keyfile = keyfile.pem
Distinguished_Name = Req_Distinguished_Name
attributes = req_attributes
prompt = nein
Output_password = mypass
[ req_distinguished_name ]
C = GB
ST = Teststaat oder Provinz
L = Testlokalität
O = Organisationsname
OU = Name der Organisationseinheit
CN = Allgemeiner Name
emailAddress = [E-Mail geschützt]
[ req_attributes ]
ChallengePassword = Ein Challenge-Passwort
ANMERKUNG
Die Kopf- und Fußzeilen im PEM Format sind normalerweise:
-----ZERTIFIKATANFRAGE BEGINNEN-----
-----ENDE ZERTIFIKATANFRAGE-----
Einige Software (einige Versionen des Netscape-Zertifikatservers) benötigen stattdessen:
----- NEUE ZERTIFIKATSANFRAGE BEGINNEN-----
----- NEUE ZERTIFIKATSANFRAGE ENDE-----
welches mit dem hergestellt wird -newhdr Option, ist aber ansonsten kompatibel. Jede Form ist
werden bei der Eingabe transparent übernommen.
Die von generierten Zertifikatsanforderungen Xenroll mit MSIE wurden Erweiterungen hinzugefügt. Es enthält
die Schlüsselverwendung Erweiterung, die den Typ des Schlüssels bestimmt (nur Signatur oder allgemein).
Zweck) und alle zusätzlichen OIDs, die vom Skript in einer ExtendedKeyUsage-Erweiterung eingegeben werden.
DIAGNOSE
Die folgenden Nachrichten werden häufig gefragt:
Verwenden der Konfiguration aus /some/path/openssl.cnf
Konfigurationsinformationen können nicht geladen werden
Einige Zeit später folgt ...
„distinguished_name“ konnte in der Konfiguration nicht gefunden werden
Probleme beim Erstellen einer Zertifikatsanforderung
Die erste Fehlermeldung ist der Hinweis: Die Konfigurationsdatei kann nicht gefunden werden! Bestimmt
Für Vorgänge (wie die Prüfung einer Zertifikatsanforderung) ist keine Konfigurationsdatei erforderlich
Die Verwendung wird nicht erzwungen. Die Generierung von Zertifikaten oder Anfragen erfordert jedoch eine
Konfigurationsdatei. Dies könnte als Fehler angesehen werden.
Eine weitere rätselhafte Nachricht ist diese:
Attributes:
um 0:00 Uhr
Dies wird angezeigt, wenn keine Attribute vorhanden sind und die Anfrage die richtigen enthält
leer SET OF Struktur (deren DER-Kodierung 0xa0 0x00 ist). Wenn Sie gerade sehen:
Attributes:
dann ist die SET OF fehlt und die Kodierung ist technisch ungültig (wird aber toleriert).
Siehe die Beschreibung der Befehlszeilenoption -asn1-kludge .
VARIABLEN
Die Variable OPENSSL_CONF Wenn definiert, ist ein alternativer Speicherort für die Konfigurationsdatei möglich
angegeben werden, wird es von überschrieben -config Befehlszeilenschalter, falls vorhanden.
Aus Kompatibilitätsgründen ist die SSLEAY_CONF Die Umgebungsvariable dient jedoch demselben Zweck
Von seiner Verwendung wird abgeraten.
Verwenden Sie reqssl online über die Dienste von onworks.net
