Apabila menggunakan sijil SSL, mencipta CSR (Permintaan Menandatangani Sijil) adalah langkah penting. Apabila mencipta CSR, parameter penting ialah medan OU (Unit Organisasi). Biasanya, medan OU menggunakan tanda tambah (+) untuk memisahkan unit organisasi yang berbeza. Walau bagaimanapun, menurut cadangan editor PHP Banana, jika anda ingin mencipta CSR dengan betul, anda harus menggunakan koma (,) untuk memisahkan unit organisasi yang berbeza. Melakukannya boleh memastikan ketepatan CSR dan mengelakkan masalah semasa proses permohonan sijil. Oleh itu, semasa membuat CSR, sila ingat untuk menggunakan koma untuk memisahkan medan OU untuk memastikan ketepatan sijil dan aplikasi yang lancar.
Saya cuba membuat permintaan menandatangani sijil masuk menggunakan perpustakaan kriptografi. Masalahnya ialah OU CSR yang dijananya dipisahkan oleh +
iaitu
Subject: O = Example Org, OU = OU1 + OU = OU2, CN = example.com
Cara menjana CSR untuk OU dipisahkan oleh 、
, contohnya
Subject: O = Example Org, OU = OU1, OU = OU2, CN = example.com
Menjana OU yang dipisahkan oleh +
分隔的 OU 似乎是 crypto
lib 的默认行为。这可以使用加密库来完成吗?如果没有,那么是否有任何其他库可以生成CSR,其OU由,
nampaknya kelakuan lalai lib crypto
. Bolehkah ini dilakukan menggunakan perpustakaan kriptografi? Jika tidak, adakah perpustakaan lain yang boleh menjana CSR dengan OU dipisahkan dengan ,
Saya cuba menjana CSR menggunakan kod di bawah
package main import ( "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "encoding/pem" "fmt" "os" ) func main() { privKey, err := rsa.GenerateKey(rand.Reader, 2048) if err != nil { fmt.Println(err) os.Exit(1) } csrTemplate := x509.CertificateRequest{ Subject: pkix.Name{ CommonName: "example.com", Organization: []string{"Example Org"}, OrganizationalUnit: []string{"OU1", "OU2"}, }, EmailAddresses: []string{"[email protected]"}, } csrBytes, err := x509.CreateCertificateRequest(rand.Reader, &csrTemplate, privKey) if err != nil { fmt.Println(err) os.Exit(1) } csrPem := pem.EncodeToMemory(&pem.Block{ Type: "CERTIFICATE REQUEST", Bytes: csrBytes, }) fmt.Println(string(csrPem)) }
Baik "+" mahupun "," bukan sebahagian daripada sijil. Ia digunakan apabila menyediakan perwakilan rentetan yang boleh dibaca manusia bagi permintaan sijil.
Butiran: Kod anda hanya mencetak fail CSR berformat PEM, bukan representasi permintaan sijil yang boleh dibaca oleh manusia. Melihat CSR ini menggunakan asn1parse hasil:
$ openssl asn1parse -in csr.pem ... 37:d=4 hl=2 l= 10 cons: SEQUENCE 39:d=5 hl=2 l= 3 prim: OBJECT :organizationalUnitName 44:d=5 hl=2 l= 3 prim: PRINTABLESTRING :OU1 49:d=4 hl=2 l= 10 cons: SEQUENCE 51:d=5 hl=2 l= 3 prim: OBJECT :organizationalUnitName 56:d=5 hl=2 l= 3 prim: PRINTABLESTRING :OU2 61:d=3 hl=2 l= 20 cons: SET
Jadi ini adalah objek yang berasingan, bukan rentetan gabungan dengan "+" di tengah. Apabila menggunakan req untuk memaparkan permintaan sijil, "+" ini muncul:
$ openssl req -in csr.pem -text Certificate Request: Data: Version: 1 (0x0) Subject: O = Example Org, OU = OU1 + OU = OU2, CN = example.com
Pembatas mana yang digunakan di sini sebenarnya boleh dikonfigurasikan. Lihat openssl-namedisplay-options dan cari sep_comma_plus_space
, yang merupakan pembatas lalai. Memetik dokumen:
Jadi begitulah: gunakan koma antara RDN yang berbeza (iaitu O, OU, CN, ...) dan gunakan tanda tambah antara berbilang AVA dalam RDN yang sama (iaitu berbilang OU). Juga, penggunaan berbilang AVA adalah tidak digalakkan dalam apa jua keadaan.
Atas ialah kandungan terperinci Buat CSR di mana OU dipisahkan dengan koma dan bukannya tanda tambah. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!