J'essaie de créer un CSR sur une image Amazon Linux AMI 2017.03.0.
J'exécute la commande suivante pour générer le test.key
[root]# openssl genrsa -out test.key 2048
Generating RSA private key, 2048 bit long modulus
............+++
.........................+++
e is 65537 (0x10001)
[root]#
J'exécute ensuite ce qui suit :
[root]# openssl req -new -sha256 -key test.key -out test.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
No template, please set one up.
problems making Certificate Request
[root]#
Le message "Aucun modèle, veuillez en créer un" semble se rapporter au fichier openssl.conf
Ma configuration openssl est la suivante :
[root]# pwd
/etc/ssl
[root]# ls -al
total 12
drwxr-xr-x 2 root root 4096 Apr 3 22:53 .
drwxr-xr-x 82 root root 4096 Apr 21 10:54 ..
lrwxrwxrwx 1 root root 16 Jan 20 23:25 certs -> ../pki/tls/certs
-rw-r--r-- 1 root root 138 Apr 3 22:53 openssl.cnf
[root]# cat openssl.cnf
[ ssl_client ]
basicConstraints = CA:FALSE
nsCertType = client
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth
[root]# rpm -q -a |grep openssl
openssl-1.0.1k-15.99.amzn1.x86_64
[root]#
Il ne semble pas y avoir beaucoup d'informations sur la création de modèles openssl, quelqu'un peut-il m'aider ou me donner un lien vers des exemples ou un didacticiel.
Réponse acceptée :
Ce que vous avez dans la strophe ssl_client ne s'appliquera pas lors de la création de csr. Ce sont en fait des attributs étendus x509v3 normalement ajoutés au certificat par l'autorité de certification lors de la signature du CSR et ils sont référencés par le nom de la strophe :
openssl x509 ... -extensions ssl_client
Si vous devez remplir le champ objet, vous devez utiliser quelque chose comme :
openssl req -new -sha256 -key test.key -out test.csr -subj "/C=SM/ST=somecountry/L=someloc/O=someorg/OU=somedept/CN=example.com"
Il existe également des moyens de spécifier les valeurs par défaut via req et req_distinguished_name strophe. En précisant dans le req , vous configurez les valeurs par défaut pour le openssl req ... commande. En spécifiant req_distinguished_name vous pouvez définir des limitations sur les composants DN du sujet et également définir des valeurs par défaut pour la création CSR interactive que vous invoquez habituellement avec openssl req -new ... et autres.
Les valeurs par défaut peuvent être définies comme suit :
[ req_distinguished_name ]
countryName_default = SM
stateOrProvinceName_default = somecountry
localityName_default = someloc
...
Il y a deux pages géniales auxquelles je me réfère habituellement quand je veux faire quelque chose avec openssl en ligne de commande :
En relation :Magento – Produits configurables et ensemble d'attributs ?https://jamielinux.com/docs/openssl-certificate-authority/appendix/root-configuration-file.html
https://www.phildev.net/ssl/opensslconf.html