OpenSSL签发证书时编码UTF8STRING PRINTABLESTRING不匹配

已于 2024-01-05 15:50:24 修改
阅读量4.7k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: https http 安全
于 2022-02-18 11:33:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010058695/article/details/122999434
版权

问题如下:

Check that the request matches the signature
Signature ok
The countryName field is different between
CA certificate (CN) and the request (CN)

可以看出,CA和REQ的DN内容是一致的,依旧报错。其实是编码的问题。

使用以下指令看编码格式:

openssl asn1parse -in /etc/pki/CA/cacert.pem

openssl asn1parse -in server01.csr

请求文件的countryName是UTF8STRING,CA证书是PRINTABLESTRING。

在openssl.cnf配置文件中有个字符编码设置string_mask=utf8only。虽然要求openssl ca证书字段都为utf8,但实际上DN的countryName仍然为PRINTABLESTRING。

# This sets a mask for permitted string types. There are several options.
# default: PrintableString, T61String, BMPString.
# pkix   : PrintableString, BMPString (PKIX recommendation before 2004)
# utf8only: only UTF8Strings (PKIX recommendation after 2004).
# nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings).
# MASK:XXXX a literal mask value.
# WARNING: ancient versions of Netscape crash on BMPStrings or UTF8Strings.
string_mask = utf8only

 查阅了很多资料,都不太好处理或者无效。提供两个简单方法,1、修改签发证书的匹配策略来解决该问题。

[ policy_match ]
countryName             = supplied
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

即,将countryName原来的match修改supplied,绕过匹配。

2、修改csr文件DN域的格式为V_ASN1_PRINTABLESTRING

    X509_NAME_add_entry_by_txt(x509_name, "CN", V_ASN1_UTF8STRING, (const unsigned char*)pbCN, -1, -1, 0);
    X509_NAME_add_entry_by_txt(x509_name, "OU", V_ASN1_UTF8STRING, (const unsigned char*)pbOU, -1, -1, 0);
    X509_NAME_add_entry_by_txt(x509_name, "O", V_ASN1_UTF8STRING, (const unsigned char*)pbO, -1, -1, 0);
    X509_NAME_add_entry_by_txt(x509_name, "L", V_ASN1_UTF8STRING, (const unsigned char*)pbL, -1, -1, 0);
    X509_NAME_add_entry_by_txt(x509_name, "ST", V_ASN1_UTF8STRING, (const unsigned char*)pbST, -1, -1, 0);
    X509_NAME_add_entry_by_txt(x509_name, "C", V_ASN1_PRINTABLESTRING, (const unsigned char*)pbC, -1, -1, 0);

qt工程源码配套下载链接:https://x-x.fun/e/UEd02e914dZsC

spic_jackmaster
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
建立私有CA实现证书申请颁发
你是遥远的星河
02-04 2720
CA证书 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CACertificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509:定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书 服务器证书 用户证书 获取证书两种方法: 自签名的...
openssl 中文乱码 同名属性
05-14 809
最近在用openssl工具制作证书候遇到了一些具体问题,平常config格式和一些openssl命令很多资料都有介绍该怎么处理,而这次我遇到的主要是两个问题,1个人信息是中文的候会乱码,2 两个属性相同该怎么办 比如 这个证书是这样的  CN=李小 12344,L=22, L=09, O=32, C=CN,  在写config 的候定义两个L的候只有后一个会被承认,这两个问题其实跟do...
记录Invalid utf8 character string报错
xzh_11的博客
12-20 4553
### Error updating database. Cause: java.sql.SQLException: Invalid utf8 character string: '1\xEF' ### The error may involve defaultParameterMap ### The error occurred while setting parameters ### SQL: INSERT INTO p_userinfo (regid,user_name,sex,company_i.
openssl制作ECC证书详解
最新发布
qq_31539845的博客
12-05 2150
openssl制作ecc证书
openssl生成含有中文信息的证书
weixin_34072458的博客
06-15 713
openssl 支持 ASCII 和 UTF-8 两种编码,应该可以制作中文证书。 在生成证书签发申请,当输入中文则 openssl 报错,这是因为当前输入的字符是 ANSI 本地编码格式,超出了 ASCII 编码范围且非 UTF-8 编码,所以 openssl 报错理所当然 ,从中看出 openssl 不支持编码转换,所以,要想输入中文,...
基于openssl 自行签发https 协议证书 openssl+nginx实现https自签有效加密实战记录
03-30
"基于openssl自行签发https协议证书openssl+nginx实现https自签有效加密实战记录" 本篇文章主要讲述了使用openssl自行签发https协议证书,并使用nginx实现https自签有效加密的实战记录。文章包含了证书签发、nginx...
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
签发新的证书,这个文件会被更新以记录证书的详细信息。 接下来,我们涉及到了实际的证书生成步骤,如`01-生成证书操作手册.docx`中可能详细描述的。这通常包括以下步骤: 1. 生成根CA私钥:使用`openssl ...
OpenSSL生成的ssl证书
01-11
4. **自签发证书**:如果你不需要权威机构的签名,可以自签发证书。使用以下命令: ``` openssl x509 -req -days 365 -in CSR.csr -signkey private.key -out certificate.crt ``` 这会生成一个有效期为365天的...
openssl生成证书
12-27
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
openssl 创建ca 签发证书
10-10
本文将深入讲解如何使用OpenSSL创建自己的CACertificate Authority)并签发证书,以及构建多级CA的实践过程。 首先,让我们了解什么是CACA是数字证书的颁发机构,它负责验证请求证书的实体身份,并为其签发具有...
N63044-第八周
linxiaodong1991的博客
02-22 3219
N63044-第八周
OPENSSL证书制作与浏览器认证
redwingz的博客
05-18 1392
准备环境 $ mkdir -p CA/{certs,crl,newcerts,private} $ $ touch CA/index.txt $ $ echo 00 > CA/serial 生成CA秘钥 $ openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus ....
OpenSSL命令---req
VitalityShow(网络通讯)
11-18 1万+
本指令用来创建和处理PKCS#10格式的证书。它还能够建立自签名证书,做Root CA
Java加密技术(十一)——双向认证
AI开源工具分享
11-07 3万+
对于双向认证,做一个简单的描述。  服务器端下发证书,客户端接受证书证书带有公钥信息,用于验证服务器端、对数据加密/解密,起到OSI五类服务的认证(鉴别)服务和保密性服务。  这只是单向认证,为什么?因为客户端可以验证服务器端,但服务器端不能验证客户端!  如果客户端也有这样一个证书,服务器端也就能够验证客户端,这就是双向认证了!  换言之,当你用银行的“U盾”之类的U盘
ASN.1简介及OpenSSL中ASN.1接口使用举例
网络资源是无限的
06-02 8471
ASN.1(Abstract Syntax Notation One)是一套标准,是描述数据的表示、编码传输、解码的灵活的记法。它提供了一套正式、无歧义和精确的规则以描述独立于特定计算机硬件的对象结构。OpenSSL编码方法就是基于该标准。ASN.1是一种结构化的数字对象描述语言,它包括两部分:数据描述语言和数据编码规则。ASN.1的数据描述语言允许用户自定义基本的数据类型,并可以通过简单的数据类型组成更复杂的数据类型。 ASN.1是ISO和ITU-T的联合标准,它本身只定义了表示信息的抽象句法,但是没
在CentOS8上实现私有CA证书申请
y_zilong的博客
04-26 3487
私有CA创建的参看配置文件 /etc/pki/tls/openssl.cnf [root@y_zilong ~]# cat /etc/pki/tls/openssl.cnf [ CA_default ] dir = /etc/pki/CA # 所有证书存放的目录 certs = $dir/certs # 证书的位置 crl_dir = $dir/crl # 吊销证书的位置 database = $dir/index.txt # 数据库索引文件 #unique_subject = n.
SSL基础:19:使用ca子命令创建自签名证书
知行合一 止于至善
12-15 1989
ca子命令使用事前准备的CSR文件,可通过-selfsign选项指定私钥生成自签名证书。本文将通过具体示例说明使用方法。
java双向加密算法_Java加密算法(十一)——双向认证
热门推荐
weixin_39775106的博客
02-25 9万+
Shell代码#!/bin/bashca_path=cacerts_path=$ca_path/certsnewcerts_path=$ca_path/newcertsprivate_path=$ca_path/privatecrl_path=$ca_path/crlecho 移除CA根目录rm -rf caecho 构建CA根目录mkdir caecho 构建子目录mkdir certsmkdi...
openssl 签发国密证书
07-14
您好!要使用 OpenSSL 签发国密证书,需要进行一些额外的步骤。以下是一个简单的示例: 首先,确保您已经安装了支持国密算法的 OpenSSL 版本。您可以在 OpenSSL 的官方网站上下载最新版本的 OpenSSL。 然后,生成一对国密算法的私钥和公钥。这可以通过以下命令完成: ```shell openssl ecparam -genkey -name SM2 -out private.key openssl ec -in private.key -pubout -out public.key ``` 接下来,生成一个证书签发请求(CSR)文件,其中包含您的公钥和其他相关信息。可以使用以下命令生成 CSR 文件: ```shell openssl req -new -key private.key -out csr.csr ``` 然后,您需要将 CSR 文件发送给证书签发机构(CA)进行签发。请注意,不是所有的 CA 都支持国密证书签发,因此您需要选择一个支持国密算法的 CA。 一旦您收到了签发证书文件(通常是一个 PEM 格式的文件),您可以将其与私钥合并,形成一个包含完整证书链的文件。可以使用以下命令完成: ```shell openssl ec -in private.key -outform PEM -out private.pem cat public.key >> private.pem cat signed_cert.pem >> private.pem ``` 现在,您已经拥有了包含私钥和证书的 PEM 文件,可以在您的应用程序中使用它来进行加密和身份验证等操作。 请注意,以上只是一个简单的示例,实际操作可能会因具体情况而有所不同。在实际使用中,建议参考 OpenSSL 的官方文档或咨询相关专业人士以获取更详细的指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值