Openssl

簽署 csr 時覆蓋特定的 DN 欄位

  • January 13, 2015

在 CA 端簽署 CSR 時,如何通過自定義值覆蓋特定的 DN 欄位?我想忽略 CSR 中寫的內容。例如在C=O=欄位中,並用靜態的東西替換它們。其他值,如CN=,應從 CSR 接受。

openssl/ca/policy配置僅支持匹配提供的選項。

無法使用 OpenSSL 配置文件覆蓋 CSR 中的欄位。配置文件只能提供預設值。我可以看到兩個選項:

  1. 如果您使用該openssl ca命令簽署 CSR,則可以使用-subject參數覆蓋 CSR 中的主題。因此,從 CSR ( openssl req -noout -subject -in req.pem) 中獲取主題,搜尋並替換您要更改的欄位,然後在命令行上使用-subject.
  2. 如果您想要的靜態欄位總是具有相同的值,您可以建構您的 CA 證書,以便您的策略配置可以match為靜態欄位指定,即您的 CA 證書在其自己的欄位中包含靜態值(例如OOU) .

引用自:https://serverfault.com/questions/553910