Buat sertifikat SSL non-interaktif [ditutup]

Ditutup . Pertanyaan ini membutuhkan detail atau kejelasan . Saat ini tidak menerima jawaban.

Ingin meningkatkan pertanyaan ini? Tambahkan detail dan jelaskan masalahnya dengan mengedit posting ini .

Ditutup 5 tahun yang lalu .

Saya ingin secara diam-diam, tidak interaktif, membuat sertifikat SSL. Yaitu, tanpa diminta data apa pun.

Cara normal saya membuat sertifikat adalah:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 \
    -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Saya mencoba yang berikut ini:

openssl genrsa -out server.key 2048
touch openssl.cnf

cat >> openssl.cnf <<EOF
[ req ]
prompt = no
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
C = GB
ST = Test State
L = Test Locality
O = Org Name
OU = Org Unit Name
CN = Common Name
emailAddress = test@email.com
EOF

openssl req -x509 -config openssl.cnf -nodes -days 7300 \
    -signkey server.key -out /etc/ssl/private/pure-ftpd.pem

Tapi saya masih mendapatkan prompt untuk data.

scripting ssl

— TheNiceGuy
sumber

Bisakah Anda memberikan penjelasan atau keluaran tentang apa yang terjadi alih-alih hasil yang diinginkan?

— Patrick

Saya mendapatkan bantuan sebagai output- Apa pun yang salah dengan parameter di sini:openssl req -x509 -config openssl.cnf -nodes -days 7300 -signkey server.key -out /etc/ssl/private/pure-ftpd.pem

— TheNiceGuy

Yang terbaik adalah memberikan output kesalahan ketika Anda mengalami masalah. Saya menduga masalah Anda karena -signkey. Ini bukan openssl reqopsi yang valid di sistem saya. Pesan kesalahan akan memiliki ini sebagai baris pertama:unknown option -signkey

— Patrick

Nah, tanda kunci itu harus memberi tahu SSL untuk menggunakan kunci yang disediakan seperti yang saya tahu?

— TheNiceGuy

"Cara normal Anda untuk membuat sertifikat" tidak meminta data apa pun. Apakah Anda tidak ingin itu menghasilkan sesuatu? Kemudian gunakan 2> /dev/null.

— wingedsubmariner

Jawaban:

Hal yang Anda lewatkan adalah untuk menyertakan subjek sertifikat di -subjbendera. Saya lebih suka ini daripada membuat file konfigurasi karena lebih mudah untuk diintegrasikan ke dalam alur kerja dan tidak perlu dibersihkan sesudahnya.

Satu langkah kunci dan generasi csr:

openssl req -new -newkey rsa:4096 -nodes \
    -keyout www.example.com.key -out www.example.com.csr \
    -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com"

Satu langkah pembuatan sertifikat tanpa kata sandi yang ditandatangani sendiri:

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \
    -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com" \
    -keyout www.example.com.key  -out www.example.com.cert

Tidak satu pun dari perintah ini akan meminta data apa pun.

Lihat jawaban saya untuk pertanyaan yang hampir identik pada Pengguna Super ini.

— bahamat
sumber

O, itu solusi yang bagus. Membuat kode jauh lebih kecil. Terima kasih: D

— TheNiceGuy

Saya tidak mengubah file konfigurasi aslinya, karena saya pikir itu mungkin standin untuk sertifikat yang lebih rumit. Beberapa konfigurasi yang tidak dapat direpresentasikan dengan -subjparameter, terutama ketika Anda masuk ke ekstensi v3 dan parameter subjectAltName.

— robbat2

Anda juga dapat menggunakan -batch(mode non-interaktif)

— Eran H.

Perhatikan bahwa perintah pertama tampaknya memerlukan kunci untuk ada sebelum dapat dieksekusi di mana perintah kedua membuat kunci dan sertifikat mereka secara otomatis karena -subjini adalah CSR in-line dasar yang valid.

— dragon788

@ dragon788 Terima kasih telah menunjukkan itu. Aku telah memperbaikinya.

— bahamat

Perintah yang Anda cari adalah:

openssl req -new -x509 -config openssl.cnf -nodes -days 7300 -key server.key -out /etc/ssl/private/pure-ftpd.pem

Perubahan dari versi Anda:

-new diperlukan untuk menghasilkan apa pun
-key digunakan sebagai pengganti -signkey

— robbat2
sumber