问题标签 [csr]

使用 OpenSSL 生成 CSR 时，您有两种选择：1) 在生成 CSR 时生成私钥 2) 使用私钥派生公钥并使用公钥创建 CSR

CSR 是否需要使用匹配的私钥签名以供 CA 验证？

假设，如果我有两个密钥对（PubKey1、PrivKey1、PubKey2、PrivKey2）。我要做的第一件事是将 PrivKey1 移动到另一个地方。有没有办法可以使用 PubKey1 来制作 CSR（无法访问 PrivKey1），但使用 PrivKey2 对其进行签名以保持完整性？

有人可以解释为什么这种情况不适用于 CA 吗？

我一直在谷歌搜索一堆，可用的文档没有详细说明私钥在创建 CSR 中的作用。

我正在使用 OpenSSL C API 来构建 CSR。代码如下：

这将创建一个 CSR 并输出私钥。我可以使用在线 CSR 检查器来验证 CSR，它会到处打勾，表示它是正确的。我正在使用 Windows 2008R2 CA 粘贴 base64 CSR。但是，当我提交请求时，Windows 框会返回以下错误：

您的请求 ID 为 0。处置消息是“错误解析请求 ASN1 错误标记值。0x8009310b (ASN: 267)”。

使用 open SSL 附带的 mkreq.c 示例代码生成 CSR 时也会发生这种情况。

有没有人遇到过这个？我的在线研究只发现人们从 CA（GoDaddy 等）颁发的时髦证书中得到这个错误。

非常感激任何的帮助！

大家好！接下来是我的问题：我有一个包含预打包 CSR 的 .pkcs7 文件，我想从中获取 CSR。我怎样才能使用 bouncycastle 呢？

我尝试使用 PEMReader，但它没有用。

接下来是例外：

谢谢大家！

php 参考具有openssl_csr_get_subject 之类的功能，但是如何从 csr 获取 subjectAltNames？

我正在尝试开始 Safari 扩展开发，但我不断收到“没有 Safari 扩展开发者证书”错误。

我在这里按照 openssl 说明进行操作： 在 Windows 中制作 CSR 证书 (7)

我将 CSR 文件上传到 developer.apple.com，下载了生成的文件并将其安装在个人和受信任的根证书颁发机构商店中。扩展生成器中没有任何反应。

这里的最高响应让我想到： Safari 没有检测到我的扩展证书

它说“在另一台机器上，您没有与证书关联的私钥”。

我看到 openssl 命令为我生成了一个私钥文件。我需要在 Safari 的某个地方或操作系统的其他地方使用它吗？

我已经尝试了一整天，我觉得我在这里错过了一些明显的东西。你能建议它是什么吗？

对于 iphone 推送通知 SSL 证书，您需要向他们提供 CSR 文件...

一段时间以来，我保存了一个 CSR 文件，每当我想生成 SSL 证书时，我总是上传相同的 CSR 文件......

现在我一直在想，因为在生成 CSR 文件时，我实际上是在生成私钥，也可能是公钥......

所以我想知道当我使用相同的 CSR 文件时我面临什么缺点.. 虽然当我下载 SSL 证书时，它们出现在钥匙串中，好像有多个私钥（尽管它们具有相同的名称）和每个都附加到不同的 SSL 证书。是否建议每次都生成一个新的 CSR 文件？为什么？如果没有必要，那怎么办？谢谢你

1）我在 openssl 命令的帮助下生成一个密钥文件和一个 CSR。当使用命令“openssl req -in test_csr.pem -noout –text”显示 CSR 信息时，我得到以下打印结果：

现在，当我使用十六进制编辑器编辑 DER 格式的密钥文件时，我得到以下数据

30 82 01 22 30 0D 06 09 2A 86 48 86 F7 0D 01 01 01 05 00 03 82 01 0F 00 30 82 01 0A 02 82 01 01 00 A6 AF 51 E9 23 65 50 1 8 14 0 B 83 F C7 0D 2D AE 09 81 D9 F8 31 AD 8E D7 8E 65 A8 E0 D4 B4 7E F9 3E 99 FA B0 43 5D E0 41 7A EE 9F 90 3D 05 C0 6F 80 BB BB 9E DD 64 1E 15 89 6 0C BC E6 3D 7 4E D0 EF 5C E4 DE 34 00 D0 AC 5C E4 F8 73 B7 22 12 81 30 28 85 CD 5A BB D6 28 C3 DC 01 67 F5 56 3A 3F 01 F3 D7 8F D9 19 67 90 1E 23 24 B0 58 E9 80 4 C9 36 AE 2B C3 81 A3 CE DE AF 8B 32 33 7D F7 81 D7 80 B8 D2 97 CE 8B F3 21 2B E8 E2 96 D0 B1 3F CC DC 18 18 C1 E7 99 81 2A E9 45 20 B7 80 39 B3 5D B3 AB 61 6A 61 F3 E1 7C 32 B7 A8 29 1A B2 E1 02 81 42 1F B4 C3 7F BF 21 F6 2D 4F EC 19 D4 3A D4 BF 90 8A 3B F0 24 CF 83 1B 21 AB B2 CB 15 38 F2 AC 1D 80 BA 33 2B C8 F4 8D 52 90 7A 25 2B E5 08 68 A2 F2 84 61 2F 24 48 A9 25 97 85 28 64 52 F9 15 91 EB 36 C6 D9 9808 09 D3 02 03 01 00 01

我观察到除了上一步中显示的密钥（从字节 33 开始）之外，在密钥之前（前 32 个字节）和密钥之后（最后 5 个字节）还有额外的数据。有人知道额外信息来自哪里以及如何解密吗？

2）我必须测试一个配置，其中密钥对（私有和公共）和哈希签名是在供应商 API 的帮助下在智能卡中生成的。使用第一个 API，我从智能卡中获取公钥和长度。使用第二个 API，我可以获得哈希签名数据和长度。我猜可以使用 openssl X509_REQ_set_pubkey API 将公钥插入到 CSR 中（对吗？）。问题是：是否有一个现有的 openssl API 我可以用来在 CSR 中插入哈希签名（类似于 X509_REQ_sign 但没有智能卡已经完成的哈希和签名过程）。谢谢。PL

I need to create a website in PHP to create CSR and CRT.

I can't use exec, system, or similars.

How can i do? I have a web form with the data to create a CSR.

I hope you can help me please.

Best regards.

我正在尝试使用 UTF-8 主题生成证书签名请求。

终端编码是 UTF-8，当我使用命令行主题时遇到同样的问题 (...) -subj /C=PL/ST=zażółć\ gęślą\ jaźń/O=my-company/CN=ThisIsMeForSure

当我跳过-utf8开关时，生成的 CSR 将所有非 ascii 字符替换为十六进制表示法（例如ó变为\xC3\xB3）。这样的 CSR 不能用 php ( openss_x509_parse) 正确读取 - 原始ó被读取为四个字节，代表两个奇怪的字符......

我究竟做错了什么？

我缺少一些关于使用 openssl 命令签署客户 CSR 的基本而明显的内容。

我有（模拟）两个组织，一个是证书颁发机构的组织（存在于加利福尼亚州），另一个是位于 WA 州的客户组织。

我按照这些步骤使用 openssl 命令在 Linux 系统上创建了证书颁发机构。 http://www.freebsdmadeeasy.com/tutorials/freebsd/create-a-ca-with-openssl.php

我现在有两个文件 1. cakey.pem 包含 CA 的私钥。这个私有也与密码相关联。2. cacert.pem 包含CA的自签名证书

接下来，我要签署来自客户的所有 CSR。华盛顿州的一位客户向我发送了一个文件 client-csr.pem。我正在阅读有关签署 CSR 的手册页和最后的示例。http://www.openssl.org/docs/apps/ca.html

我正在尝试的命令和错误消息如下：我在 CA 的系统上运行这些命令，这是我创建 cakey.pem（CA 的私钥）和 cacert.pem（CA 的自签名证书）的同一系统

问题是为什么 CA 证书和客户端 CSR 的状态名称必须相同。

客户不在“加利福尼亚”，因此当他们创建 CSR 时，他们输入了自己的州名 (WA)。作为证书颁发机构，我已经验证了客户端确实在 WA 并且 CSR 文件确实来自他们。我想签署这个 CSR 并将证书返回给客户。