ssl - OpenSSL を使用して証明書署名要求から要求された有効期間を抽出する

Question

お客様の認証には、OpenSSL を利用したプライベート認証局を使用しています。認証局が署名するための CSR ファイルをアップロードできるシンプルな Web ベースのユーティリティを提供しています。

現時点では、一定期間、現在は 365 日間のみ証明書を発行できます。ただし、代わりに証明書の有効期間を指定できるかどうか、お客様からお問い合わせがありました。

CSRを生成するときに有効期間を指定する必要があるため、ユーザーに有効期間を尋ねる必要はなく、証明書に署名するときにCSRからこの期間を抽出することは理にかなっています。しかし、私はそれを行う方法を理解することはできません.OpenSSLがCSR、証明書、およびキーをデバッグするために行う通常のことは、関連情報を表示しません.これは、「openssl req -text -noout <の出力の例です。 csrfile":

$ openssl req -text -noout < my.csr 
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=GB, L=London, O=example.com, CN=customer/emailAddress=ssl@example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:c4:3b:11:7f:61:31:19:97:b6:26:19:01:e7:c6:
                    c3:d5:03:a5:f6:5a:4d:e2:03:d0:4e:76:49:d0:7f:
                    59:92:bf:5e:12:b3:b0:7e:20:5b:d8:a2:3f:cb:50:
                    c1:64:e5:48:04:c3:b2:04:e3:f2:4c:2f:0e:e2:a6:
                    c3:7c:36:24:dc:97:c9:f0:ba:ad:87:0f:71:45:9c:
                    6a:7f:d4:4c:d5:31:8e:49:a8:e4:3d:c4:ec:5e:54:
                    bf:f9:ba:ce:21:4c:11:15:7d:f0:d3:7a:77:f6:66:
                    5d:07:4e:4a:d3:0e:f0:52:0d:d9:cf:81:86:fe:9b:
                    c8:f8:e4:8d:d6:d1:d0:85:7f
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha1WithRSAEncryption
        5e:4c:38:59:95:e5:11:b4:a3:d5:88:1f:3c:c0:33:67:cb:b2:
        14:85:73:c3:5a:b8:23:bf:1d:25:2b:a9:38:93:da:fb:67:17:
        26:6c:79:07:dd:7f:3c:3f:b0:33:17:d1:c2:41:f7:c9:ce:1e:
        32:1c:a1:a0:a3:50:67:56:1b:58:d9:b4:48:56:70:00:43:22:
        a9:0c:17:be:67:42:f4:98:d6:d8:c0:d0:4f:6a:73:d1:a8:57:
        91:3c:02:dc:dc:8f:e3:fb:48:28:06:a2:8e:8e:27:b2:39:d7:
        3e:ce:63:ae:66:9b:ec:38:ee:09:77:dc:0f:91:40:ab:28:0f:
        ae:a9

要求された有効期間についての言及はどこにもありません。

助言がありますか？

Answer 1

CSR で特定の有効期間を要求する方法を理解しようとしてきましたが、私が知る限り、CSR にはその情報が含まれていません。CSR の構造は PKCS#10 / RFC2986 で定義されており、要求された有効期間専用のフィールドはありません。CSR に入れることができる属性と拡張機能は PKCS#9 にリストされており、有効期間については何もありません。最後にopenssl asn1parse、生成された CSR に対して を実行すると、 に何を渡しても、有効期間に関連する情報が含まれていないことがわかりますopenssl req。

Answer 2

CSRの有効性を調査しているときに、あなたの質問に出くわしました. -days他の人が述べたように、有効期間は CSR に含まれていませんが、多くの人が CSR を作成するための例に含めるオプションに興味がありました。OpenSSL のドキュメントを読んだ後、それは非常に明確です。

- 日 n

-x509 オプションが使用されている場合、証明書を認証する日数を指定します。デフォルトは 30 日です。

-x509オプションは、証明書要求の代わりに自己署名証明書を出力します

-x509

このオプションは、証明書要求の代わりに自己署名証明書を出力します。これは通常、テスト証明書または自己署名ルート CA を生成するために使用されます。証明書に追加された拡張 (存在する場合) は、構成ファイルで指定されます。set_serial オプションを使用して指定しない限り、シリアル番号には大きな乱数が使用されます。

Answer 3

CSR の生成中に証明書の特定の有効期間を要求しても、その有効性が CA によって受け入れられることを期待するのは不確かです。ほとんどの CA は事前定義された有効期間を好みますが、要求された有効期間で問題がなく、それに応じて CSR を生成する CA はほとんどありません。要点を言えば、PKCS#10 標準による CSR ASN.1 構造は、有効期間を指定していません。したがって、CSR からその情報を抽出することはできません。

Answer 4

-days xxリクエスト作成コマンドにパラメーターを追加してみてください