使用openssl在签名过程中将电子邮件地址从SAN复制到DN

时间:2017-06-01 07:48:06

标签: email openssl ca csr

我有一个用户证书的CSR,其DN中没有指定电子邮件地址。但是,电子邮件地址被指定为主题备用名称中的扩展名。

现在,我想使用openssl签署此请求,并在生成的证书的DN中包含电子邮件地址,即必须将电子邮件地址从主题备用名称复制到DN中的emailAddress字段。这对openssl来说是否可能?

1 个答案:

答案 0 :(得分:0)

使用openssl ca命令签署证书签名请求时,可以向X509证书的主题添加新属性。例如:

openssl ca -cert MyCA.cer -keyfile MyCA.pvk -config MyCA.config -in MyCertificate.req -out MyCertificate.cer -outdir . -subj /CN=MyNewName

但是主题没有电子邮件的指定属性(按RFC 5280)。所以你有两个选择:

  1. 使用其中一个允许的主题属性来保留新电子邮件(例如CN=me@mycompany.com
  2. SAN证书扩展包含电子邮件的特殊字段,您可以将其放在那里。
相关问题
最新问题