Buat CSR di mana OU dipisahkan dengan koma dan bukannya tanda tambah

Apabila menggunakan sijil SSL, mencipta CSR (Permintaan Menandatangani Sijil) adalah langkah penting. Apabila mencipta CSR, parameter penting ialah medan OU (Unit Organisasi). Biasanya, medan OU menggunakan tanda tambah (+) untuk memisahkan unit organisasi yang berbeza. Walau bagaimanapun, menurut cadangan editor PHP Banana, jika anda ingin mencipta CSR dengan betul, anda harus menggunakan koma (,) untuk memisahkan unit organisasi yang berbeza. Melakukannya boleh memastikan ketepatan CSR dan mengelakkan masalah semasa proses permohonan sijil. Oleh itu, semasa membuat CSR, sila ingat untuk menggunakan koma untuk memisahkan medan OU untuk memastikan ketepatan sijil dan aplikasi yang lancar.

Kandungan soalan

Saya cuba membuat permintaan menandatangani sijil masuk menggunakan perpustakaan kriptografi. Masalahnya ialah OU CSR yang dijananya dipisahkan oleh + iaitu

Subject: O = Example Org, OU = OU1 + OU = OU2, CN = example.com

Cara menjana CSR untuk OU dipisahkan oleh 、, contohnya

Subject: O = Example Org, OU = OU1, OU = OU2, CN = example.com

Menjana OU yang dipisahkan oleh + 分隔的 OU 似乎是 crypto lib 的默认行为。这可以使用加密库来完成吗？如果没有，那么是否有任何其他库可以生成CSR，其OU由， nampaknya kelakuan lalai lib crypto. Bolehkah ini dilakukan menggunakan perpustakaan kriptografi? Jika tidak, adakah perpustakaan lain yang boleh menjana CSR dengan OU dipisahkan dengan ,

Saya cuba menjana CSR menggunakan kod di bawah

package main

import (
    "crypto/rand"
    "crypto/rsa"
    "crypto/x509"
    "crypto/x509/pkix"
    "encoding/pem"
    "fmt"
    "os"
)

func main() {
    privKey, err := rsa.GenerateKey(rand.Reader, 2048)
    if err != nil {
        fmt.Println(err)
        os.Exit(1)
    }

    csrTemplate := x509.CertificateRequest{
        Subject: pkix.Name{
            CommonName:         "example.com",
            Organization:       []string{"Example Org"},
            OrganizationalUnit: []string{"OU1", "OU2"},
        },
        EmailAddresses: []string{"[email protected]"},
    }

    csrBytes, err := x509.CreateCertificateRequest(rand.Reader, &csrTemplate, privKey)
    if err != nil {
        fmt.Println(err)
        os.Exit(1)
    }

    csrPem := pem.EncodeToMemory(&pem.Block{
        Type:  "CERTIFICATE REQUEST",
        Bytes: csrBytes,
    })

    fmt.Println(string(csrPem))
}

Penyelesaian

Baik "+" mahupun "," bukan sebahagian daripada sijil. Ia digunakan apabila menyediakan perwakilan rentetan yang boleh dibaca manusia bagi permintaan sijil.

Butiran: Kod anda hanya mencetak fail CSR berformat PEM, bukan representasi permintaan sijil yang boleh dibaca oleh manusia. Melihat CSR ini menggunakan asn1parse hasil:

$ openssl asn1parse -in csr.pem 
   ...       
   37:d=4  hl=2 l=  10 cons: SEQUENCE          
   39:d=5  hl=2 l=   3 prim: OBJECT            :organizationalUnitName
   44:d=5  hl=2 l=   3 prim: PRINTABLESTRING   :OU1
   49:d=4  hl=2 l=  10 cons: SEQUENCE          
   51:d=5  hl=2 l=   3 prim: OBJECT            :organizationalUnitName
   56:d=5  hl=2 l=   3 prim: PRINTABLESTRING   :OU2
   61:d=3  hl=2 l=  20 cons: SET

Jadi ini adalah objek yang berasingan, bukan rentetan gabungan dengan "+" di tengah. Apabila menggunakan req untuk memaparkan permintaan sijil, "+" ini muncul:

$ openssl req -in csr.pem -text 
Certificate Request:
    Data:
        Version: 1 (0x0)
        Subject: O = Example Org, OU = OU1 + OU = OU2, CN = example.com

Pembatas mana yang digunakan di sini sebenarnya boleh dikonfigurasikan. Lihat openssl-namedisplay-options dan cari sep_comma_plus_space , yang merupakan pembatas lalai. Memetik dokumen:

Jadi begitulah: gunakan koma antara RDN yang berbeza (iaitu O, OU, CN, ...) dan gunakan tanda tambah antara berbilang AVA dalam RDN yang sama (iaitu berbilang OU). Juga, penggunaan berbilang AVA adalah tidak digalakkan dalam apa jua keadaan.

Atas ialah kandungan terperinci Buat CSR di mana OU dipisahkan dengan koma dan bukannya tanda tambah. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!