c - 什么是包属性以及如何生成它们？

Question

在将一些证书从 keystore 转换为 openssl/pem 时，我第一次注意到证书前面有“Bag Attributes”。

看起来像这样:

Bag Attributes
    friendlyName: CN=PositiveSSL CA,O=Comodo CA Limited,L=Salford,ST=Greater Manchester,C=GB
subject=/C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=PositiveSSL CA
issuer=/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST    Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware

它们有什么作用吗？

我注意到我喜欢它们，因为它们使我的链文件(证书的串联)更加清晰。遗憾的是，我下载的 ca 证书没有它们。

那么我该如何生成它们呢？

Answer 1

确切地说，您显然是指使用 openssl pkcs12 (import) 实用程序转换(或只是读取)一个 PKCS#12 文件，Java 可以将其作为 keystore 支持，但不是默认(更新)直到 2017 年的 Java9。PKCS#12 被设计并通常用于私钥和证书(通常是多个)该 key ，尽管格式足够灵活以允许单独的证书。 OpenSSL 命令行 pkcs12 -export 需要私钥，尽管它会添加“额外”证书，并且调用 API 的程序显然不能执行任何私钥.根据我的经验，Java 在版本 8 之前的 PKCS#12 中不支持单独的证书，而在我的 8 和 9 中有两个属性:pkcs9.friendlyName 和 2.16.840.1.113894.746875.1.1这显然是 Oracle 定义的 trustedKeyUsage。大多数单独的证书不会作为 PKCS#12 存储或下载。

PKCS#12 是根据几个(略有不同的)“包”结构定义的，其中包含各种内容，主要是私钥和带有附加可选属性的证书，这些属性毫不奇怪地称为“包属性”；您的案例(显然)只有证书。这些属性遵循现在传统的任意数量的 OID 对加上取决于 OID 的值的结构。请注意，在您的显示中，只有 friendlyName 是包属性，因为它在标题下缩进。

subject= 和 issuer= 行是 来自证书本身 的字段，openssl pkcs12(导入) 为方便起见，实用程序提取和打印。如果这足够了，您可以使用 x509 实用程序为任何证书显示它们；特别是如果你想以 pkcs12 输出的方式在 PEM 编码的证书“blob”之前使用它们，请使用 openssl x509 -in infile -subject -issuer -out outfile。这会生成一个证书，因此如果您在 PEM 文件中有一个链，您需要将其分开并分别执行每个证书，然后可能再次组合；例如像

# split into files cert_1, cert_2, etc.
$ awk <chain.pem -va="openssl x509 -subject -issuer >cert_" 
  '/^-----BEGIN/{b=a (++n);x=1}x{print|b}/^-----END/{close(b);x=0}'

# output entire "bag" to stdout (with blank lines between certs)
$ awk <chain.pem -va="openssl x509 -subject -issuer" \
  '/^-----BEGIN/{b=a;x=1}x{print|b}/^-----END/{close(b);x=0;print""}'

作为比较，openssl s_client -showcerts 做了一些非常相似的事情:它输出主题和颁发者以及来自接收链的每个证书 blob，用级别编号“s:”和“我:"。