8

我注意到 OpenSSL 和 certreq 如何生成 PKCS10 CSR 的细微差别:

  • OpenSSL:

      -----BEGIN CERTIFICATE REQUEST-----
    
  • 微软certreq

      -----BEGIN NEW CERTIFICATE REQUEST-----
    

(以及具有相同的页脚,除了 END)

PKCS10 规范没有关于这些页眉/页脚的任何信息,所以我怀疑它们不是规范的一部分。我希望能够处理尽可能多的 CSR 格式,所以:

是否有 CSR 的“BEGIN”标头规范?

另外:是否存在其他形式的 CSR 标头?不是 openssl 或 certreq 的 CSR 生成工具使用什么?

4

2 回答 2

7

是否有 CSR 的“BEGIN”标头规范?

是的,但这取决于您遵循的标准。

正如@jariq 指出的那样,RFC 7468就是其中之一。

但它也很像xkcd: Standards


我注意到 OpenSSL 如何...

OpenSSL 识别的 PEM 编码可以在<openssl dir>/crypto/pem/pem.h>. 使用NEW显然是一种旧的方式。

这是列表:

# define PEM_STRING_X509_OLD     "X509 CERTIFICATE"
# define PEM_STRING_X509         "CERTIFICATE"
# define PEM_STRING_X509_PAIR    "CERTIFICATE PAIR"
# define PEM_STRING_X509_TRUSTED "TRUSTED CERTIFICATE"
# define PEM_STRING_X509_REQ_OLD "NEW CERTIFICATE REQUEST"
# define PEM_STRING_X509_REQ     "CERTIFICATE REQUEST"
# define PEM_STRING_X509_CRL     "X509 CRL"
# define PEM_STRING_EVP_PKEY     "ANY PRIVATE KEY"
# define PEM_STRING_PUBLIC       "PUBLIC KEY"
# define PEM_STRING_RSA          "RSA PRIVATE KEY"
# define PEM_STRING_RSA_PUBLIC   "RSA PUBLIC KEY"
# define PEM_STRING_DSA          "DSA PRIVATE KEY"
# define PEM_STRING_DSA_PUBLIC   "DSA PUBLIC KEY"
# define PEM_STRING_PKCS7        "PKCS7"
# define PEM_STRING_PKCS7_SIGNED "PKCS #7 SIGNED DATA"
# define PEM_STRING_PKCS8        "ENCRYPTED PRIVATE KEY"
# define PEM_STRING_PKCS8INF     "PRIVATE KEY"
# define PEM_STRING_DHPARAMS     "DH PARAMETERS"
# define PEM_STRING_DHXPARAMS    "X9.42 DH PARAMETERS"
# define PEM_STRING_SSL_SESSION  "SSL SESSION PARAMETERS"
# define PEM_STRING_DSAPARAMS    "DSA PARAMETERS"
# define PEM_STRING_ECDSA_PUBLIC "ECDSA PUBLIC KEY"
# define PEM_STRING_ECPARAMETERS "EC PARAMETERS"
# define PEM_STRING_ECPRIVATEKEY "EC PRIVATE KEY"
# define PEM_STRING_PARAMETERS   "PARAMETERS"
# define PEM_STRING_CMS          "CMS"

快速 grep 显示:

$ grep -R -B 3 PEM_STRING_X509_OLD *
...
--
crypto/pem/pem_lib.c-
crypto/pem/pem_lib.c-    /* Permit older strings */
crypto/pem/pem_lib.c-
crypto/pem/pem_lib.c:    if (!strcmp(nm, PEM_STRING_X509_OLD) && !strcmp(name, PEM_STRING_X509))
--
...

我希望能够处理尽可能多的 CSR 格式

看起来“NEW CERTIFICATE REQUEST”(旧式)和“CERTIFICATE REQUEST”(新式)是两个获胜者。


有人曾经要求提供 PEM 页眉和页脚的列表(它们被称为封装前和封装后方法或字符串,IIRC)。IETF 的 PKIX 工作组拒绝了它。请参阅PEM 文件格式 rfc 草案请求

于 2015-04-19T02:55:09.423 回答
5

查看RFC7468 的 CSR 页眉和页脚

于 2015-02-22T18:35:24.750 回答