个人中心
文章发布
退出
作者热门文章
- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
38
4
我尝试使用“crypto/x509”包生成 CSR,但没有找到将“emailAddress”字段添加到其主题的方法。
根据文档 CertificateRequest结构有一个“EmailAddresses []string”字段,但它被序列化为 SAN 扩展。这是我使用的测试代码: http://play.golang.org/p/OtObaTyuTM
我还使用“openssl req”程序创建了一个 CSR 并比较了结果:
% openssl req -in openssl.csr -noout -text
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=AU, ST=Some-State, L=MyCity, O=Company Ltd, OU=IT, CN=domain.com/emailAddress=test@email.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (512 bit)
Modulus:
00:a3:05:e3:37:63:f9:8b:d0:37:46:2d:a8:d9:26:
4e:be:83:1d:b9:30:88:2b:80:4b:53:cc:7c:01:86:
b0:9b:1d:3b:0a:05:c4:56:47:4e:5d:90:f9:5a:29:
8b:9a:7f:fa:4b:5e:e4:5d:dd:c6:8b:87:33:c4:b4:
fa:6b:b4:67:bd
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: sha1WithRSAEncryption
0b:24:6e:0a:f9:bf:23:d7:41:5f:96:da:78:d1:99:18:fb:d6:
71:7e:79:f0:02:e9:8a:50:a9:00:32:df:26:14:2f:f4:3e:c4:
22:c9:5c:4e:79:c1:c2:22:1b:2a:da:79:6f:51:ba:8a:12:63:
27:02:4a:b3:22:97:59:f7:6e:d6
===============================================================
% openssl req -in golang.csr -noout -text
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=AU, O=Company Ltd, OU=IT, L=MyCity, ST=Some-State, CN=domain.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (512 bit)
Modulus:
00:ac:b6:51:5b:53:44:44:20:91:da:01:45:72:49:
95:83:78:74:7c:05:f9:a7:77:88:02:3a:23:5f:04:
c3:69:45:b9:5a:bb:fd:e7:d3:24:5f:46:14:b8:7d:
30:ce:a0:c6:ea:e3:3b:ec:4c:75:24:cc:ce:60:1d:
e9:33:57:ae:21
Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
X509v3 Subject Alternative Name:
email:test@email.com
Signature Algorithm: sha256WithRSAEncryption
a1:c1:b7:80:a0:f0:c3:b6:44:06:f4:ad:12:3a:67:19:fa:84:
34:22:2a:d9:56:d9:8b:c9:a4:d0:cf:8d:a1:36:87:fa:75:b7:
05:40:0a:15:1f:72:61:85:a8:09:bc:f4:13:e6:24:5e:2e:b7:
99:e3:93:53:4e:2d:d5:0c:22:fc
在我看来,我应该使用 emainAddress oid 自己构建 RawSubject 字段,但我没有找到任何代码示例。更新:我找到了解决方案。正如我上面提到的,必须手动准备 RawSubject 字段:
subj := pkix.Name{
CommonName: cn,
Country: []string{c},
Organization: []string{o},
OrganizationalUnit: []string{ou},
Locality: []string{l},
Province: []string{s},
}
rawSubj := subj.ToRDNSequence()
rawSubj = appendRDNs(rawSubj, []string{e}, oidEmailAddress)
asn1Subj, err := asn1.Marshal(rawSubj)
template := x509.CertificateRequest{
RawSubject: asn1Subj,
SignatureAlgorithm: x509.SHA1WithRSA,
}
地点:
最佳答案
这是 Jeremy's answer 的变体自他回答以来,它利用了 Go 中的一些新增功能,并且还修复了我认为是一个错误。 (有关这方面的更多信息,请参阅我对他的帖子的评论。)
这是 runnable playground link下面的代码。
package main
import (
"crypto/rand"
"crypto/rsa"
"crypto/x509"
"crypto/x509/pkix"
"encoding/asn1"
"encoding/pem"
"os"
)
var oidEmailAddress = asn1.ObjectIdentifier{1, 2, 840, 113549, 1, 9, 1}
func main() {
keyBytes, _ := rsa.GenerateKey(rand.Reader, 1024)
emailAddress := "test@example.com"
subj := pkix.Name{
CommonName: "example.com",
Country: []string{"AU"},
Province: []string{"Some-State"},
Locality: []string{"MyCity"},
Organization: []string{"Company Ltd"},
OrganizationalUnit: []string{"IT"},
ExtraNames: []pkix.AttributeTypeAndValue{
{
Type: oidEmailAddress,
Value: asn1.RawValue{
Tag: asn1.TagIA5String,
Bytes: []byte(emailAddress),
},
},
},
}
template := x509.CertificateRequest{
Subject: subj,
SignatureAlgorithm: x509.SHA256WithRSA,
}
csrBytes, _ := x509.CreateCertificateRequest(rand.Reader, &template, keyBytes)
pem.Encode(os.Stdout, &pem.Block{Type: "CERTIFICATE REQUEST", Bytes: csrBytes})
}
主要区别在于:
RawSubject 字段,而是将电子邮件地址字段添加到 pkix.Name ExtraNames slice (在 Go 1.5 中添加)。IA5String,而不是 PrintableString 或 UTF8String。这就是为什么我们需要使用 asn1.RawValue。CertificateRequest EmailAddresses 字段。这些设计更多用于签名电子邮件之类的东西。在 TLS 证书的上下文中,应使用 SAN 替代有效的主机名和 IP 地址。(2018-06-14 更新:Value 已从 string 更改为 asn1.RawValue。OpenSSL 拒绝以其他方式生成的 CSR,因为 emailAddress 的 ASN.1 序列化编码需要是 IA5String 而不是 PrintableString 或 UTF8String .)
关于ssl - 在 Go 中使用电子邮件地址创建证书签名请求 (CSR),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26043321/
38
4
0
我在 Cloudflare 的域名服务器上有一个域名 example.com。该域指向我的专用服务器的 IP 地址,该服务器运行 CentOS/WHM/cPanel。该站点可访问 - 一切都很好。 我
我正在努力将 SSL 支持添加到我们现有的应用程序中,并已开始考虑向后兼容性。 与我读过的其他帖子不同的一个特殊情况是服务器可能不一定使用 SSL 代码更新。所以我将有一个 SSL 客户端连接到一个对
我有几个 https://*.rest-service.mydomain.com。随着服务数量的增加,我觉得管理 SSL 证书的成本很高。我为 *.mydomain.com 购买了通配符证书。 新添加
我的客户要求我在他的网站上做反向 ssl。但我是这个学期的新手。谁能帮我解决这个问题。 请描述或引用如何做。 最佳答案 查看 this wiki article . In the case of se
关闭。这个问题是opinion-based .它目前不接受答案。 想改进这个问题?更新问题,以便 editing this post 可以用事实和引用来回答它. 去年关闭。 Improve this
我连接到我的网络服务器上的存储库,但是当我尝试推送我的更改时,它显示:“错误 403:需要 ssl”,但在我的存储库设置中我已经激活了 ssl 选项。 有什么建议吗? 最佳答案 当您连接到存储库时,您
抱歉,如果这听起来像是转储问题,我已经阅读了很多关于 SSL 握手和 SSL 工作原理的文章和文档。我对一件事感到困惑,如果有人能澄清我就太好了。 我知道私钥要保密。但是我已经看到通过在请求中指定私钥
随着物联网越来越主流,越来越需要从硬件发送http请求。 一个主要问题是硬件微 Controller 无法发送 ssl 请求,但大多数服务器/网站/服务都在使用 ssl。 所以,问题是,有没有桥(一个
我有一个 ssl 页面,它还从非 ssl 站点下载头像。我能做些什么来隔离该内容,以便浏览器不会警告用户混合内容吗? 最佳答案 只是一个想法 - 或者: 尝试在头像网站上使用 ssl url,如有必要
我在 Digital Ocean droplet(使用 nginx)上设置了两个域。我已经在其中一个(domain1)中安装了一个 SSL 证书,并且那个证书一切正常。第二个域 (domain2) 不
我收到这个错误: Error frontend: 502 Bad gateway 99.110.244:443 2017/09/28 13:03:51 [error] 34080#34080: *10
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 6 年前。 Improve
我遇到了一个问题,我正在构建一个 nginx 反向代理以定向到不同 url 路径上的多个微服务。 该系统完全基于 docker,因此开发和生产使用相同的环境。这在安装 SSL 时给我带来了问题,因为
所以我知道要求 SSL 证书和接受之间的根本区别,一个意味着您必须拥有 SSL 证书,另一个意味着您不需要。 在某个网页的 IIS 管理器中,我有以下设置: 我遇到的问题是,当我设置需要 SSL 证书
我今天才发现 .app 域名需要 SSL 证书。我购买它是为了将 DNS 重定向到已经设置了 SSL 证书的站点,所以我的问题是是否可以设置它? 我正在使用 Google Domains,在将合成临时
堆栈 : react ,NGINX 1.14.0,GUnicorn,Django 2.2.8,Python 3.6.9 错误 : 在浏览器:当 React 调用 Django API(当然是在请求头中
假设我在计算机上编辑主机文件以使 google.com 指向我的 VPS 服务器 IP,并且服务器具有通过 Apache 或 Nginx 配置的 google.com 的虚拟主机/服务器 block
我有一个场景,我正在处理用于 URL 路由的 IIS 网站配置。我已添加网站并在服务器上导入所需的证书。 我的情况是(我有多个网站 URL 和两个 SSL 证书 - 如下所示): qatest1.ab
我知道服务器发送的证书无法伪造(仍然存在 MD5 冲突,但成本高昂),但是伪造客户端又如何呢?在中间人攻击中:我们不能告诉服务器我们是合法客户端并从该服务器获取数据并对其进行操作,然后使用合法客户端公
我已通读相关问题,但无法完全找到我要查找的内容。我设置了一个名为“domain.com”的域,并创建了两个子域“client.domain.com”和“client-intern.domain.com
我是一名优秀的程序员,十分优秀!