openssl을 사용하여 자체 서명 된 인증서를 생성 할 때 확장 키 사용 문자열을 추가하는 방법

Mac OS X 10.9에서 openssl을 사용하여 Windows Server 원격 데스크톱 서비스에 대한 자체 서명 된 인증서를 생성하고 있습니다.

아래 명령을 사용하여 인증서를 생성 할 수 있습니다.

   openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout myserver.key -out myserver.crt

그러나 확장 키 사용 문자열 서버 인증 (1.3.6.1.5.5.7.3.1) 을 추가해야하며 위 명령에서이를 수행하는 방법을 알 수 없습니다.

이것을 포함하는 파일과 함께 openssl 옵션 -extfile 을 사용해 보았습니다 .

[= default ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1

그러나 "-extfile 옵션을 찾을 수 없습니다"라는 오류가 발생합니다.

하지만 openssl x509용도 -extfile, 사용하는 명령은 openssl req필요로 -config구성 파일을 지정합니다.

따라서 다음과 같은 명령을 사용할 수 있습니다.

openssl req -x509 -config cert_config -extensions 'my server exts' -nodes \
            -days 365 -newkey rsa:4096 -keyout myserver.key -out myserver.crt

고유 이름 비트에 대한 일반적인 프롬프트는 기본 구성 파일 (아마도 /System/Library/OpenSSL/openssl.cnfOS X에 있음)에 정의되어 있지만이 파일은을 사용할 때 처리되지 않으므로 -config구성 파일에도 일부 DN 비트가 포함되어야합니다. 따라서 위에서 언급 한 내용 cert_config은 다음과 같습니다.

[ req ]
prompt             = no
distinguished_name = my dn

[ my dn ]
# The bare minimum is probably a commonName
            commonName = secure.example.com
           countryName = XX
          localityName = Fun Land
      organizationName = MyCo LLC LTD INC (d.b.a. OurCo)
organizationalUnitName = SSL Dept.
   stateOrProvinceName = YY
          emailAddress = ssl-admin@example.com
                  name = John Doe
               surname = Doe
             givenName = John
              initials = JXD
           dnQualifier = some

[ my server exts ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1
# 1.3.6.1.5.5.7.3.1 can also be spelled serverAuth:
# extendedKeyUsage = serverAuth

# see x509v3_config for other extensions

주석에 표시된대로 대부분의 DN 필드를 생략 할 수 있습니다. HTTPS 사용의 경우 호스트 이름과 일치하는 CN 만 있으면됩니다.

req (1) 의 식별 이름 및 속성 섹션 형식 섹션 은 여러 개의 유사한 인증서 / 요청을 생성하려는 경우 위의 구성을 수정하여 값을 프롬프트하고 기본값을 제공하는 방법을 보여줍니다.

다른 인증서 확장이 필요한 경우 x509v3_config (5) 에서 확장 섹션에서 지정할 수있는 다른 비트를 확인하십시오 .