Heim >Backend-Entwicklung >Golang >Erstellen Sie eine CSR, in der die Organisationseinheiten durch Kommas statt durch Pluszeichen getrennt werden
Bei der Verwendung eines SSL-Zertifikats ist das Erstellen einer CSR (Certificate Signing Request) ein wesentlicher Schritt. Ein wichtiger Parameter beim Erstellen einer CSR ist das Feld OU (Organisationseinheit). Typischerweise wird im OU-Feld ein Pluszeichen (+) verwendet, um verschiedene Organisationseinheiten zu trennen. Wenn Sie jedoch einen CSR korrekt erstellen möchten, sollten Sie, so der Vorschlag des PHP-Editors Banana, Kommas (,) verwenden, um verschiedene Organisationseinheiten zu trennen. Dadurch kann die Richtigkeit der CSR sichergestellt und Probleme während des Zertifikatsantragsprozesses vermieden werden. Denken Sie daher beim Erstellen einer CSR bitte daran, OU-Felder durch Kommas zu trennen, um die Genauigkeit des Zertifikats und eine reibungslose Anwendung sicherzustellen.
Ich versuche, mithilfe einer kryptografischen Bibliothek eine Zertifikatssignierungsanforderung in Go zu erstellen. Das Problem besteht darin, dass die OU des CSR, das es generiert, durch +
getrennt ist, d. h.
Subject: O = Example Org, OU = OU1 + OU = OU2, CN = example.com
So generieren Sie beispielsweise CSR für OU getrennt durch 、
Subject: O = Example Org, OU = OU1, OU = OU2, CN = example.com
Das Generieren von durch +
分隔的 OU 似乎是 crypto
lib 的默认行为。这可以使用加密库来完成吗?如果没有,那么是否有任何其他库可以生成CSR,其OU由,
getrennten Organisationseinheiten scheint das Standardverhalten der crypto
-Bibliothek zu sein. Kann dies mithilfe einer kryptografischen Bibliothek erfolgen? Wenn nicht, gibt es dann eine andere Bibliothek, die CSR mit OU, getrennt durch ,
Ich habe versucht, CSR mit dem folgenden Code zu generieren
package main import ( "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "encoding/pem" "fmt" "os" ) func main() { privKey, err := rsa.GenerateKey(rand.Reader, 2048) if err != nil { fmt.Println(err) os.Exit(1) } csrTemplate := x509.CertificateRequest{ Subject: pkix.Name{ CommonName: "example.com", Organization: []string{"Example Org"}, OrganizationalUnit: []string{"OU1", "OU2"}, }, EmailAddresses: []string{"[email protected]"}, } csrBytes, err := x509.CreateCertificateRequest(rand.Reader, &csrTemplate, privKey) if err != nil { fmt.Println(err) os.Exit(1) } csrPem := pem.EncodeToMemory(&pem.Block{ Type: "CERTIFICATE REQUEST", Bytes: csrBytes, }) fmt.Println(string(csrPem)) }
Weder „+“ noch „“, sind Teil des Zertifikats. Es wird verwendet, wenn eine für Menschen lesbare Zeichenfolgendarstellung einer Zertifikatsanforderung bereitgestellt wird.
Details: Ihr Code druckt lediglich die PEM-formatierte CSR-Datei aus, keine für Menschen lesbare Darstellung der Zertifikatsanforderung. Das Anzeigen dieser CSR mit asn1parse ergibt:
$ openssl asn1parse -in csr.pem ... 37:d=4 hl=2 l= 10 cons: SEQUENCE 39:d=5 hl=2 l= 3 prim: OBJECT :organizationalUnitName 44:d=5 hl=2 l= 3 prim: PRINTABLESTRING :OU1 49:d=4 hl=2 l= 10 cons: SEQUENCE 51:d=5 hl=2 l= 3 prim: OBJECT :organizationalUnitName 56:d=5 hl=2 l= 3 prim: PRINTABLESTRING :OU2 61:d=3 hl=2 l= 20 cons: SET
Das sind also separate Objekte, keine kombinierte Zeichenfolge mit einem „+“ in der Mitte. Wenn Sie req verwenden, um eine Zertifikatsanforderung anzuzeigen, erscheint dieses „+“:
$ openssl req -in csr.pem -text Certificate Request: Data: Version: 1 (0x0) Subject: O = Example Org, OU = OU1 + OU = OU2, CN = example.com
Welches Trennzeichen hier verwendet wird, ist tatsächlich konfigurierbar. Sehen Sie sich openssl-namedisplay-options an und suchen Sie nach sep_comma_plus_space
, dem Standardtrennzeichen. Dokumente zitieren:
Da haben Sie es also: Verwenden Sie Kommas zwischen verschiedenen RDNs (d. h. O, OU, CN, ...) und verwenden Sie Pluszeichen zwischen mehreren AVAs innerhalb desselben RDN (d. h. mehrere OUs). Außerdem wird unter keinen Umständen von der Verwendung mehrerer AVAs abgeraten.
Das obige ist der detaillierte Inhalt vonErstellen Sie eine CSR, in der die Organisationseinheiten durch Kommas statt durch Pluszeichen getrennt werden. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!