erro DomainComponent com openssl

Question

erro DomainComponent com openssl

#1 resposta do (3 votos)

3

Estou criando uma PKI simples para usar o TLS com um servidor LDAP.

Eu criei a solicitação e o certificado da CA raiz com isso no arquivo de configuração:

[ ca_dn ]
0.domainComponent       = "org"
1.domainComponent       = "example"

Em seguida, criei o pedido e o certificado de CA de assinatura com isso no arquivo de configuração:

[ ca_dn ]
0.domainComponent       = "org"
1.domainComponent       = "example"

Em seguida, criei a solicitação do ldap com isso no arquivo de configuração:

[ server_dn ]
0.domainComponent       = "org"
1.domainComponent       = "example"
2.domainComponent       = "ldap"

Mas quando quero criar o certificado com

openssl ca -config etc/signing-ca.conf -in certs/ldap.example.org.csr -out certs/ldap.example.org.crt -extensions server_ext

Eu recebo esta mensagem:

The domainComponent field needed to be the same in the CA certificate (example) and the request (ldap)

Posso ver que o ldap.example.org.key e ldap.example.org.crt arquivos são criados, o arquivo .crt está vazio. Estou entendendo mal alguma coisa nesse processo?

openssl ssl-certificate

por eli0T 23.07.2018 / 18:17

1 resposta

Tags openssl ssl-certificate

Como vincular contas da AWS e navegar entre elas? Arquivos bloqueados para o usuário no Windows Server 2016

score 3 · Accepted Answer

Seu arquivo de configuração do OpenSSL terá uma opção chamada policy , que aponta para uma seção de política. Por exemplo, policy = [policy_match] . Uma seção [policy_match] (geralmente logo abaixo da opção) listará quais elementos do Nome Distinto são optional , supplied ou match . Por exemplo:

[policy_match]
countryName=match
organizationName=match
organizationalUnitName=optional
domainComponent=match

É provável que você tenha um domainComponent=match , conforme mostrado no exemplo, o que significa que o domínioComponente da solicitação deve ser o mesmo do certificado que está assinando a solicitação (o certificado de autoridade de certificação). Altere-o para optional (não precisa estar presente na solicitação) ou para supplied (ele precisa estar presente, mas não precisa corresponder).

Mais detalhes estão disponíveis na página de manual do CA do OpenSSL em Policy Format .