簽署 csr 時覆蓋特定的 DN 欄位

在 CA 端簽署 CSR 時，如何通過自定義值覆蓋特定的 DN 欄位？我想忽略 CSR 中寫的內容。例如在C=和O=欄位中，並用靜態的東西替換它們。其他值，如CN=，應從 CSR 接受。

openssl/ca/policy配置僅支持匹配和提供的選項。

無法使用 OpenSSL 配置文件覆蓋 CSR 中的欄位。配置文件只能提供預設值。我可以看到兩個選項：

1. 如果您使用該openssl ca命令簽署 CSR，則可以使用-subject參數覆蓋 CSR 中的主題。因此，從 CSR ( openssl req -noout -subject -in req.pem) 中獲取主題，搜尋並替換您要更改的欄位，然後在命令行上使用-subject.
2. 如果您想要的靜態欄位總是具有相同的值，您可以建構您的 CA 證書，以便您的策略配置可以match為靜態欄位指定，即您的 CA 證書在其自己的欄位中包含靜態值（例如O，OU） .

引用自：https://serverfault.com/questions/553910