Avatar von Kelran
  • Kelran

729 Beiträge seit 29.09.2016

SAN über die Kommandozeile mit OpenSSL

Ich habe jetzt längere Zeit nicht mehr mit OpenSSL gearbeitet, aber ich denke, dass man die Parameter über einen kleinen Umweg schon auf der Kommandozeile OpenSSL übergeben kann und nicht jedes Mal eine individuelle Konfigurationsdatei erstellen muss.

Ich würde es mit folgender Konfiguration in der Datei versuchen. Statt wie im Artikel erwähnt

subjectAltName = @alt_names [alt_names] DNS.1 = www.heise.de DNS.2 = heise.de

in der Konfigurationsdatei nur

subjectAltName=${ENV::SAN}

verwenden und dann OpenSSL beispielsweise wie folgt aufrufen

SAN="DNS:www.heise.de, DNS:heise.de" openssl ....

Generell finde ich den Hinweis im Artikel zur OpenSSL-Konfiguration aber zu kurz geraten, auch wenn ich der Meinung bin, dass jemand, der mit Zertifikaten arbeitet, sich damit auskennen sollte.

Ausgehend von der Standardkonfigurationsdatei von OpenSSL sollte man erst einmal in der Sektion "[ req ]" die Option "req_extensions = v3_req" aktivieren, weil die Funktionalität zu X509 Version 3 gehört. Dann erweitert man die Sektion "[ v3_req ]" um die zuvor erwähnte Einstellung "subjectAltName=${ENV::SAN}".

Wenn man zusätzlich eine eigene CA betreibt sind wohl weitere Anpassungen in der OpenSSL-Konfigurationsdatei erforderlich.

Das Posting wurde vom Benutzer editiert (21.05.2017 14:33).

Bewerten
- +