我正在尝试从c ++代码创建带有subjectAltName的自签名请求(尝试将this之类的动态自签名证书实现为OpenResty的实际版本,但是subjectAltName并没有解决方案)。
请提供一些使用C ++ / OpenSSL代码设置SAN的示例。我尝试这样:
X509_EXTENSION *ext;
STACK_OF (X509_EXTENSION) * extlist;
char *ext_name = "subjectAltName";
char *ext_value = "DNS:lohsport.com";
extlist = sk_X509_EXTENSION_new_null ();
ext = X509V3_EXT_conf (NULL, NULL, ext_name, ext_value);
if(ext == NULL)
{
*err = "Error creating subjectAltName extension";
goto failed;
}
sk_X509_EXTENSION_push (extlist, ext);
if (!X509_REQ_add_extensions (x509_req, extlist)){
*err = "Error adding subjectAltName to the request";
goto failed;
}
sk_X509_EXTENSION_pop_free (extlist, X509_EXTENSION_free);
它编译成功,但是不起作用。 我将不胜感激。
更新 现在,我尝试像在OpenSSL库的selfsing.c演示中一样工作:
1)我定义了一个向CSR添加扩展的函数:
int add_ext(STACK_OF(X509_EXTENSION) *sk, int nid, char *value)
{
X509_EXTENSION *ex;
ex = X509V3_EXT_conf_nid(NULL, NULL, nid, value);
if (!ex)
return 0;
sk_X509_EXTENSION_push(sk, ex);
return 1;
}
2)将此块添加到生成CSR的函数中:
char Buffer[512];
// Format the value
sprintf (Buffer, "DNS:%s", info->common_name);
xts = sk_X509_EXTENSION_new_null();
add_ext(exts, NID_subject_alt_name, Buffer);
if(X509_REQ_add_extensions(x509_req, exts) != 1) {
*err = "X509_REQ_add_extensions() failed";
goto failed;
}
sk_X509_EXTENSION_pop_free(exts, X509_EXTENSION_free);
代码再次正确编译,证书是即时生成的,但是备用名称仍然不起作用,并且在浏览器中出现错误:
NET :: ERR_CERT_COMMON_NAME_INVALID
并且我在证书详细信息中看不到备用名称信息。
对于SAN问题,还有哪些其他解决方案?如果有帮助,我可以在githab上提供所有代码。
答案 0 :(得分:0)
尝试使用X509V3_EXT_conf
函数而不是X509V3_EXT_conf_nid
函数,在该函数中您传递NID而不是名称。
ext = X509V3_EXT_conf (NULL, NULL, ext_name, ext_value);
可以
ext = X509V3_EXT_conf_nid(NULL, NULL, NID_subject_alt_name, ext_value);
您的代码可能无法正常工作,因为您可能没有将扩展名与OpenSSL代码中的扩展名完全匹配。
答案 1 :(得分:0)
你好,我已经做了类似的事情(但是我正在使用X509
对象而不是像你这样的X509_REQ
对象:
static int cs_cert_set_subject_alt_name(X509 *x509_cert)
{
char *subject_alt_name = "IP: 192.168.1.1";
X509_EXTENSION *extension_san = NULL;
ASN1_OCTET_STRING *subject_alt_name_ASN1 = NULL;
int ret = -1;
subject_alt_name_ASN1 = ASN1_OCTET_STRING_new();
if (!subject_alt_name_ASN1) {
goto err;
}
ASN1_OCTET_STRING_set(subject_alt_name_ASN1, (unsigned char*) subject_alt_name, strlen(subject_alt_name));
if (!X509_EXTENSION_create_by_NID(&extension_san, NID_subject_alt_name, 0, subject_alt_name_ASN1)) {
goto err;
}
ASN1_OCTET_STRING_free(subject_alt_name_ASN1);
ret = X509_add_ext(x509_cert, extension_san, -1);
if (!ret) {
goto err;
}
X509_EXTENSION_free(extension_san);
err:
if (subject_alt_name_ASN1) ASN1_OCTET_STRING_free(subject_alt_name_ASN1);
if (extension_san) X509_EXTENSION_free(extension_san);
return -1;
}
暂时对我有用,当我想用新的主题替代名称(由于新的IP地址)更新一个已经存在的证书时,仍然遇到一些麻烦。
要查看结果并检查主题alt名称是否已制成:
$ openssl x509 -text -in cert.pem