10

我们使用由 OpenSSL 提供支持的私有证书颁发机构来验证我们的客户。我们提供了一个简单的基于 Web 的实用程序,允许他们上传 CSR 文件供证书颁发机构签名。

目前,我们只能颁发固定期限的证书,目前是 365 天。但是,我们的客户询问是否可以指定证书的有效期。

我宁愿不必询问用户他们想要什么有效期,因为他们必须在生成 CSR 时指定有效期,并且在签署证书时从 CSR 中提取该有效期是有意义的。但是我不知道该怎么做:OpenSSL 让您调试 CSR、证书和密钥的正常操作不显示相关信息:这是“openssl req -text -noout < csr文件”:

$ openssl req -text -noout < my.csr 
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=GB, L=London, O=example.com, CN=customer/emailAddress=ssl@example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:c4:3b:11:7f:61:31:19:97:b6:26:19:01:e7:c6:
                    c3:d5:03:a5:f6:5a:4d:e2:03:d0:4e:76:49:d0:7f:
                    59:92:bf:5e:12:b3:b0:7e:20:5b:d8:a2:3f:cb:50:
                    c1:64:e5:48:04:c3:b2:04:e3:f2:4c:2f:0e:e2:a6:
                    c3:7c:36:24:dc:97:c9:f0:ba:ad:87:0f:71:45:9c:
                    6a:7f:d4:4c:d5:31:8e:49:a8:e4:3d:c4:ec:5e:54:
                    bf:f9:ba:ce:21:4c:11:15:7d:f0:d3:7a:77:f6:66:
                    5d:07:4e:4a:d3:0e:f0:52:0d:d9:cf:81:86:fe:9b:
                    c8:f8:e4:8d:d6:d1:d0:85:7f
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha1WithRSAEncryption
        5e:4c:38:59:95:e5:11:b4:a3:d5:88:1f:3c:c0:33:67:cb:b2:
        14:85:73:c3:5a:b8:23:bf:1d:25:2b:a9:38:93:da:fb:67:17:
        26:6c:79:07:dd:7f:3c:3f:b0:33:17:d1:c2:41:f7:c9:ce:1e:
        32:1c:a1:a0:a3:50:67:56:1b:58:d9:b4:48:56:70:00:43:22:
        a9:0c:17:be:67:42:f4:98:d6:d8:c0:d0:4f:6a:73:d1:a8:57:
        91:3c:02:dc:dc:8f:e3:fb:48:28:06:a2:8e:8e:27:b2:39:d7:
        3e:ce:63:ae:66:9b:ec:38:ee:09:77:dc:0f:91:40:ab:28:0f:
        ae:a9

任何地方都没有提到要求的有效期。

有什么建议么?

4

4 回答 4

8

我一直试图弄清楚如何在 CSR 中请求特定的有效期,据我所知,CSR 根本不包含该信息。CSR 的结构在 PKCS#10 / RFC2986 中定义,它没有专门用于请求有效期的字段。可以放入 CSR 的属性和扩展在 PKCS#9 中列出,其中没有关于有效期的内容。最后,我可以openssl asn1parse对我生成的 CSR 执行一个操作,发现无论我传递给什么,都没有包含与有效期相关的信息openssl req

于 2010-01-06T01:35:06.290 回答
5

我在研究 CSR 的有效性时偶然发现了你的问题。正如其他人提到的,有效期不包含在 CSR 中,但我很好奇-days很多人在创建 CSR 的示例中包含的选项。阅读OpenSSL 的文档后,很清楚:

-天数

当使用 -x509 选项时,它指定认证证书的天数。默认值为 30 天。

并且该-x509选项输出自签名证书而不是证书请求

-x509

此选项输出自签名证书而不是证书请求。这通常用于生成测试证书或自签名根 CA。添加到证书的扩展名(如果有)在配置文件中指定。除非使用 set_serial 选项指定,否则将使用较大的随机数作为序列号。

于 2016-03-10T10:57:10.760 回答
1

尽管您为您的证书请求了一定的有效期,但在生成 CSR 时,不确定该有效期是否会被 CA 接受。大多数 CA 更喜欢预定义的有效期,很少有 CA 可以接受请求的有效期并相应地生成 CSR。现在说到重点,根据 PKCS#10 标准的 CSR ASN.1 结构没有指定有效期。因此,您无法从 CSR 中提取该信息。

于 2012-04-08T11:17:14.967 回答
-1

Try to add -days xx parameter to your request creation command

于 2009-04-06T13:30:19.150 回答