OpenSSL sempre mostra “não suportado” para todos os valores UTF8 de subjectAltName “otherName”

Navegue suas respostas
5

Parece que o OpenSSL está corrompido ao tentar ler os valores subjectAltName / otherName / UTF8 que foram escritos por ele mesmo:

A configuração openssl.cnf relevante (usando um OID oficial, mas aleatório): 

[alt_names]
DNS.1   = www.foo.com
DNS.2   = www.bar.org
IP.1    = 192.168.1.1
IP.2    = 192.168.69.144
email = email@me

otherName = 1.3.6.1.4.1.1;UTF8:some other identifier

Uma amostra do dump de um CSR gerado a partir desta configuração: 

            TLS Web Server Authentication
        X509v3 Subject Alternative Name: 
            DNS:www.foo.com, DNS:www.bar.org, IP Address:192.168.1.1, IP Address:192.168.69.144, email:email@me, othername:<unsupported>
Signature Algorithm: sha1WithRSAEncryption
    6f:4a:1d:8f:43:7e:4d:d1:0c:7e:05:9d:1f:f0:98:b1:69:cf:

Alguém pode indicar se estou fazendo algo errado? Isso está me deixando louca.

    
por Dustin Oprea 09.04.2014 / 07:05

1 resposta

1

Provavelmente ainda sem suporte. Tente asn1parse.

A saída <unsupported> foi o resultado regular em 2010. Meu palpite: esse ainda é o caso.

Um OpenSSL dev disse isso na lista de discussão (Arquivado aqui .):

Steven Hensen, 2010-01-02:

Currently OpenSSL doesn't display any otherName values. It can't know the precise meaning of that field in general because the format could be totally arbitrary. At best it could asn1parse the contents.

E se você usar openssl asn1parse no arquivo para encontrar o deslocamento da seção :X509v3 Subject Alternative Name e, em seguida, usar a opção -strparse com esse deslocamento, então otherName será de fato exibido.

    
por 29.07.2015 / 15:59

Tags

Method / Tools para analisar temporariamente o colapso da banda BPA para a reclamação de configuração do DC Server W32Time do AD Server 2008 e 2008 R2