Thêm tên thay thế chủ đề (SAN) vào Yêu cầu ký chứng chỉ (CSR) hiện có

Có ai có thể cho tôi biết làm thế nào tôi thêm một số Tên thay thế chủ đề vào CSR hiện tại không?

Tôi không nói về việc tạo CSR bằng SAN hoặc thêm SAN khi ký - Tôi biết cách thực hiện cả hai điều này.

Bối cảnh: Vấn đề chúng tôi gặp phải là khung gầm lưỡi HP, cho phép bạn tạo CSR, nhưng chúng chỉ cho phép một SAN duy nhất. Chúng tôi không thể sử dụng CSR được tạo ở nơi khác vì chúng tôi không thể sử dụng chứng chỉ kết quả vì không có cách nào (mà tôi có thể tìm thấy) để tải khóa lên khung lưỡi cắt.

Quy trình tiêu chuẩn của CA của chúng tôi không cho phép thêm SAN đang ký thời gian. Họ sẵn sàng thử nghiệm, tuy nhiên tôi đang cố gắng tìm giải pháp cho chúng tôi vì điều này có nghĩa là chúng tôi sẽ không phải dựa vào họ có quy trình không chuẩn cho chúng tôi - theo kinh nghiệm của tôi nếu họ cần sử dụng quy trình không chuẩn cuộc sống cuối cùng sẽ gặp khó khăn. Ví dụ: khi một nhân viên biết quy trình không chuẩn không có mặt do nghỉ phép, v.v.

Phương pháp hiện tại là kết nối với quản trị viên trên bo mạch thông qua gui web và tạo CSR với một CN duy nhất.

Gui web chỉ cho phép một SAN duy nhất trong CSR.

Sau đó, chúng tôi tự ký tên với khổ thơ sau trong cấu hình openssl:

[ v3_ca ]
subjectAltName = "DNS:bladesystem8,DNS:bladesystem8.services.adelaide.edu.au,DNS:bladesystem8-backup,DNS:bladesystem8-backup.services.adelaide.edu.au"

Chứng chỉ kết quả có thêm SAN.

Nếu khung gầm của bạn không hỗ trợ thêm SAN, bạn sẽ cần lấy chìa khóa ra khỏi khung và tạo CSR với openssl.

Hãy chắc chắn rằng không req_extensions = v3_reqbị thiếu trong [ req ]phần.

Thêm subjectAltNamevào [ v3_req ]phần.

Tạo CSR mới.

openssl req -new -key extracted_c7000.key -out your_new.csr

Bạn không thể chỉnh sửa CSR hiện có.

Lưu ý quan trọng: Tất cả những điều này có phần suy đoán, vì vậy nếu bạn đang tìm hiểu sâu về mã và nó không đồng ý với những gì tôi đang nói, hãy tin vào mã. Tôi không phải là chuyên gia CA, tôi chỉ chơi một cái trên TV. Mà nói:

Là một tính năng của CSR, nó sẽ rất khó khăn. Bước cuối cùng trong việc tạo CSR theo lập trình là băm mọi thứ bạn đã tạo và sau đó ký tên bằng khóa riêng. Vì vậy, trong khi bạn có thể thêm các thuộc tính đó vào văn bản của CSR, chữ ký sẽ không khớp với nội dung, vì vậy không có CA nào ký tên.

Tuy nhiên, trong trường hợp của bạn, bạn kiểm soát (hoặc ít nhất là tiếp xúc với) CA. Điều này cung cấp cho bạn hai tùy chọn:

1. Bạn có thể hướng dẫn CA bỏ qua chữ ký trên CSR và dù sao cũng phải cấp chứng chỉ.
2. Bạn có thể yêu cầu CA cấp một chứng chỉ khác với những gì được yêu cầu (ví dụ: bằng cách thêm thuộc tính).

Trong số này, # 1 dường như là dễ nhất. Bạn sẽ cần phải phá vỡ con dấu rõ ràng giả mạo trên OpenSSL để làm cho nó thực hiện điều này, nhưng nó có một số chức năng sẽ làm cho khá dễ dàng hơn một chút. Tôi sẽ bắt đầu với asn1parse, nó sẽ chỉ cho bạn cách phá vỡ CSR.

Mặc dù câu trả lời của cakemox chắc chắn là dễ nhất nếu bạn bằng cách nào đó có thể nhận được một bản sao của khóa riêng, có một cách khác nếu bạn không thể ký lại CSR bằng cách sử dụng chứng chỉ "Đại lý tuyển sinh".

Bài đăng trên blog css-security.com này có tất cả các chi tiết gritty nitty. Nhưng tổng quan cấp cao của quy trình trông như thế này:

• Có được chứng chỉ đại lý tuyển sinh
• Sửa đổi mẫu chứng chỉ SSL để yêu cầu chứng chỉ EA để cấp
• Có được CSR cần thông tin SAN
• Sử dụng chứng chỉ EA để từ chức CSR trong khi thêm thông tin SAN

Khi tôi thử cá nhân này, tôi khá chắc chắn rằng tôi đã bỏ qua phần về sửa đổi mẫu chứng chỉ. Giả sử bạn có thể tạo chứng chỉ Đại lý tuyển sinh cho chính mình, quy trình thực tế trông giống như thế này.

Tạo một san.inf với thông tin mở rộng SAN trong đó

[Extensions]
2.5.29.17="{text}dns=mysan1.example&dns=mysan2.example"

Ký lại yêu cầu

certreq -policy -config "myca.example\CA" orig-request.csr san.inf corrected-request.csr

Gửi yêu cầu đã sửa

certreq -submit -config "myca.example\CA" -attrib "CertificateTemplate:MyTemplate" corrected-request.csr

Và sau đó tiến hành như bình thường với quá trình phát hành.