CSR riproducibili e completi con il file cnf di OpenSSL

Alessandro Lorenzi
0

Nel linguaggio SSL il file CSR, acronimo di Certificate Signing Request, é un file contenente le informazioni che andranno nel certificato SSL (CRT) rilasciato da una Certification Authority (CA) e firmato con la chiave adatta.

crypto

Solitamente, per crearlo, si utilizza il seguente comando di OpenSSL per creare questa richiesta: 

openssl req -new -out server.csr

Questo sistema é iterattivo e ha due grossi limiti: non richiede tutti i campi disponibili nello standard SSL e nel momento in cui un dato cambia dobbiamo ricrearlo ex-novo dovremo rifarlo inserendo i dati a mano, inserendo un elemento di errore su una cosa molto delicata.

Per sopperire a questi problemi possiamo ricorrere ai file di configurazione CNF. Sono file di testo come questo:

# OpenSSL configuration to generate a new key with signing requst for a x509v3 
# multidomain certificate
#
# openssl req -config myhostname.cnf -new -key myhostname.key -out myhostname.csr
#

[ req ]
default_bits       = 4096
default_md         = sha512
default_keyfile    = myhostname.key
prompt             = no
encrypt_key        = no

# base request
distinguished_name = req_distinguished_name

# extensions
req_extensions     = v3_req

# distinguished_name
[ req_distinguished_name ]
countryName            = "IT"                     # C=
stateOrProvinceName    = "Milano"                 # ST=
localityName           = "Milano"                 # L=
postalCode             = "20151"                  # L/postalcode=
streetAddress          = "Via Stallman, 42"       # L/street=
organizationName       = "Linux"                  # O=
organizationalUnitName = "Linux"                  # OU=
emailAddress           = "ssl@example.com"        # CN/emailAddress=
commonName             = "www.example.com"          # CN=
1.commonName           = "www1.example.com"
2.commonName           = "www2.example.com"
3.commonName           = "mail.example.com"



# req_extensions
[ v3_req ]
# The subject alternative name extension allows various literal values to be 
# included in the configuration file
# http://www.openssl.org/docs/apps/x509v3_config.html
subjectAltName  = DNS:www.example.com,DNS:www2.example.com # multidomain certificate

Notate i campi per indirizzo e cap e i common name per i certificati multidominio, informazioni non richieste dal comando precedente.

Per creare il CSR diamo il seguente comando:

 openssl req -config myhostname.cnf -new -out myhostname.csr

Quando dovremo ricreare il csr modificato, mantenendo la stessa chiave, daremo il comando inserito nei commenti: 

 openssl req -config myhostname.cnf -new -key myhostname.key -out myhostname.csr

A questo punto potremo salvare tutti i nostri file di configurazione pronti ad essere modificati ed adattati alle nostre esigenze.

Alessandro Lorenzi
, ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2909) Saturday's Talks (46)

Tag cloud

ai (43) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (67) Google (85) IBM (49) Intel (54) KDE (35) Kernel (219) Kubernetes (89) Linux (673) LinuxFoundation (31) LTS (32) Malware (54) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (323) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (46) RHEL (37) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (79) Ubuntu (167) Vulnerabilità (55) Windows (80)