Создать SSL-сертификат неинтерактивно [закрыт]

Закрыто . Этот вопрос нуждается в деталях или ясности . В настоящее время не принимает ответы.

Хотите улучшить этот вопрос? Добавьте детали и проясните проблему, отредактировав этот пост .

Закрыто 6 лет назад .

Я хочу молча, не в интерактивном режиме, создать сертификат SSL. Т.е. без запроса каких-либо данных.

Обычный способ создания сертификата:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 \
    -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Я попробовал следующее:

openssl genrsa -out server.key 2048
touch openssl.cnf

cat >> openssl.cnf <<EOF
[ req ]
prompt = no
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
C = GB
ST = Test State
L = Test Locality
O = Org Name
OU = Org Unit Name
CN = Common Name
emailAddress = test@email.com
EOF

openssl req -x509 -config openssl.cnf -nodes -days 7300 \
    -signkey server.key -out /etc/ssl/private/pure-ftpd.pem

Но я все еще получаю подсказку для данных.

scripting ssl

— TheNiceGuy
источник

Можете ли вы дать объяснение или вывод о том, что происходит вместо желаемого результата?

— Патрик

Я получаю помощь в качестве выходных данных - Что-то не так с параметрами здесь:openssl req -x509 -config openssl.cnf -nodes -days 7300 -signkey server.key -out /etc/ssl/private/pure-ftpd.pem

— TheNiceGuy

Лучше всего выводить ошибки, когда у вас возникают проблемы. Я предполагаю, что ваша проблема из-за -signkey. Это недопустимая openssl reqопция в моей системе. Сообщение об ошибке будет иметь такую же первую строку:unknown option -signkey

— Patrick

Хорошо, что signkey должен сказать SSL, чтобы использовать предоставленный ключ, как я знаю?

— TheNiceGuy

Ваш "нормальный способ создания сертификата" не запрашивает никаких данных. Вы не хотите, чтобы он что-то выводил? Тогда используйте 2> /dev/null.

— wingedsubmariner

Ответы:

Вам не хватает, чтобы включить тему сертификата в -subj флаг. Я предпочитаю это созданию файла конфигурации, потому что его легче интегрировать в рабочий процесс и не требует последующей очистки.

Один шаг и генерация csr:

openssl req -new -newkey rsa:4096 -nodes \
    -keyout www.example.com.key -out www.example.com.csr \
    -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com"

Один шаг самозаверяющего создания сертификата без пароля:

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \
    -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com" \
    -keyout www.example.com.key  -out www.example.com.cert

Ни одна из этих команд не будет запрашивать какие-либо данные.

Смотрите мой ответ на этот почти идентичный вопрос на Super User.

— bahamat
источник

О, это хорошее решение. Делает коды намного меньше. Спасибо: D

— TheNiceGuy

Я не изменял его исходный файл конфигурации, так как думал, что это может быть заменой более сложного сертификата. Некоторые конфигурации, которые не могут быть представлены с -subjпараметром, особенно когда вы попадаете в расширения v3 и параметры subjectAltName.

— robbat2

Вы также можете использовать -batch(неинтерактивный режим)

— Эран Х.

Обратите внимание, что первая команда требует, чтобы ключ существовал до того, как он может быть выполнен, когда вторая команда создает их ключ и сертифицирует автоматически, потому что -subjэто базовый действующий встроенный CSR.

— dragon788

@ dragon788 Спасибо за указание на это. Я починил это.

— багамат

Команда, которую вы ищете:

openssl req -new -x509 -config openssl.cnf -nodes -days 7300 -key server.key -out /etc/ssl/private/pure-ftpd.pem

Изменения от вашей версии:

-new требуется генерировать что-либо
-key используется вместо -signkey

— robbat2
источник