C ++和OpenSSL库:如何通过代码设置subjectAltName(SAN)?

时间:2019-01-25 05:05:02

标签: c++ openssl self-signed-certificate

我正在尝试从c ++代码创建带有subjectAltName的自签名请求(尝试将this之类的动态自签名证书实现为OpenResty的实际版本,但是subjectAltName并没有解决方案)。

请提供一些使用C ++ / OpenSSL代码设置SAN的示例。我尝试这样:

    X509_EXTENSION  *ext;
    STACK_OF (X509_EXTENSION) * extlist;
    char *ext_name = "subjectAltName";
    char *ext_value = "DNS:lohsport.com";

    extlist = sk_X509_EXTENSION_new_null ();
    ext = X509V3_EXT_conf (NULL, NULL, ext_name, ext_value);
    if(ext == NULL)
    {
        *err = "Error creating subjectAltName extension";
        goto failed;
    }
    sk_X509_EXTENSION_push (extlist, ext);

    if (!X509_REQ_add_extensions (x509_req, extlist)){
        *err = "Error adding subjectAltName to the request";
        goto failed;
    }
    sk_X509_EXTENSION_pop_free (extlist, X509_EXTENSION_free);

它编译成功,但是不起作用。 我将不胜感激。

更新 现在,我尝试像在OpenSSL库的selfsing.c演示中一样工作:

1)我定义了一个向CSR添加扩展的函数:

int add_ext(STACK_OF(X509_EXTENSION) *sk, int nid, char *value)
{
X509_EXTENSION *ex;
ex = X509V3_EXT_conf_nid(NULL, NULL, nid, value);
if (!ex)
    return 0;
sk_X509_EXTENSION_push(sk, ex);

return 1;
}

2)将此块添加到生成CSR的函数中:

   char Buffer[512];
    // Format the value
    sprintf (Buffer, "DNS:%s", info->common_name);
    xts = sk_X509_EXTENSION_new_null();
    add_ext(exts, NID_subject_alt_name, Buffer);

    if(X509_REQ_add_extensions(x509_req, exts) != 1) {
        *err = "X509_REQ_add_extensions() failed";
        goto failed;
    }
    sk_X509_EXTENSION_pop_free(exts, X509_EXTENSION_free);

代码再次正确编译,证书是即时生成的,但是备用名称仍然不起作用,并且在浏览器中出现错误:

NET :: ERR_CERT_COMMON_NAME_INVALID

并且我在证书详细信息中看不到备用名称信息。

对于SAN问题,还有哪些其他解决方案?如果有帮助,我可以在githab上提供所有代码。

2 个答案:

答案 0 :(得分:0)

尝试使用X509V3_EXT_conf函数而不是X509V3_EXT_conf_nid函数,在该函数中您传递NID而不是名称。

ext = X509V3_EXT_conf (NULL, NULL, ext_name, ext_value);

可以

ext = X509V3_EXT_conf_nid(NULL, NULL, NID_subject_alt_name, ext_value);

您的代码可能无法正常工作,因为您可能没有将扩展名与OpenSSL代码中的扩展名完全匹配。

答案 1 :(得分:0)

你好,我已经做了类似的事情(但是我正在使用X509对象而不是像你这样的X509_REQ对象:

static int cs_cert_set_subject_alt_name(X509 *x509_cert)
{
    char *subject_alt_name = "IP: 192.168.1.1";
    X509_EXTENSION *extension_san = NULL;
    ASN1_OCTET_STRING *subject_alt_name_ASN1 = NULL;
    int ret = -1;

    subject_alt_name_ASN1 = ASN1_OCTET_STRING_new();
    if (!subject_alt_name_ASN1) {
        goto err;
    }
    ASN1_OCTET_STRING_set(subject_alt_name_ASN1, (unsigned char*) subject_alt_name, strlen(subject_alt_name));
    if (!X509_EXTENSION_create_by_NID(&extension_san, NID_subject_alt_name, 0, subject_alt_name_ASN1)) {
        goto err;
    }
    ASN1_OCTET_STRING_free(subject_alt_name_ASN1);
    ret = X509_add_ext(x509_cert, extension_san, -1);
    if (!ret) {
        goto err;
    }
    X509_EXTENSION_free(extension_san);

err:
    if (subject_alt_name_ASN1) ASN1_OCTET_STRING_free(subject_alt_name_ASN1);
    if (extension_san) X509_EXTENSION_free(extension_san);
    return -1;
}

暂时对我有用,当我想用​​新的主题替代名称(由于新的IP地址)更新一个已经存在的证书时,仍然遇到一些麻烦。

要查看结果并检查主题alt名称是否已制成:

$ openssl x509 -text -in cert.pem