【发布时间】:2016-12-13 23:51:23
【问题描述】:
我需要在Subject Alternative Name下生成一个带有“NT Principal Name”和“RFC 822 Name”的客户端认证证书,类似于这个证书,如macOS keychain access中所示(被遮挡的字段值为AD UPN如@ 987654329@):
我已经尝试使用 OpenSSL 通过以下命令生成客户端身份验证证书:
openssl req -x509 -config cert_config -extensions 'my server exts' -nodes -days 365 -newkey rsa:4096 -keyout client.key -out client.crt
还有这个 cert_config 文件:
[ req ]
prompt = no
distinguished_name = my dn
[ my dn ]
commonName = Test
countryName = US
localityName = Anywhere
organizationName = Test
organizationalUnitName = Dev
stateOrProvinceName = CO
emailAddress = info@test.com
name = Test Cert
surname = Cert
givenName = Test
initials = TC
[ my server exts ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2,1.3.6.1.4.1.311.20.2.2
subjectAltName = otherName:1.3.18.0.2.4.318;UTF8:test@example.com
但我无法更正主题替代名称的格式以匹配上图中的示例。我在OpenSSL documentation 的主题备用名称下找不到“NT 主体名称”或“RFC 822 名称”的定义。当我在钥匙串访问中查看上述命令生成的证书时,我看到:
如何在我的客户端身份验证证书的主题备用名称下指定“NT 主体名称”和“RFC 822 名称”字段?
【问题讨论】:
-
Stack Overflow 是一个编程和开发问题的网站。这个问题似乎离题了,因为它与编程或开发无关。请参阅帮助中心的What topics can I ask about here。也许Super User 或Unix & Linux Stack Exchange 会是一个更好的提问地方。另见Where do I post questions about Dev Ops?
-
你找到解决办法了吗?
-
对于“RFC 822 名称”,我想我们应该使用
subjectAltName = email:whatever@email.domain。也不确定“NT 主体名称”,但对于 UPN,我可以使用otherName:1.3.6.1.4.1.311.20.2.3;UTF8:test@example.com,即使用不同的 OID 号。 (虽然这个问题很老,只是添加对我有用的东西,如果它可以帮助以后的人)