Como selecionar uma string delimitada por dois padrões de string diferentes

Eu provavelmente processaria as linhas uma por uma como de costume, e olharia para o primeiro campo separado por espaços para identificar as linhas de assunto e alt-name. Então, você pode dividir a linha em outro array usando a pontuação e escolher a parte certa de lá. (Isso pressupõe que não haja nada antes da CNparte -- não consigo lembrar se isso seria permitido.) Se você quiser realmente verificar o texto ao redor (as partes CN=e ), então eu mudaria para Perl e veria a resposta do meuh .DNS:

awk '$1 == "subject" { subject=$2; split($2, a, "[=,]"); cn=a[2]; } 
     $1 == "subject-alternative-name" { split($2, a, "[\":]"); altname=a[3]; }
     END { out = "openssl ... -keyout " cn "_2025.key -subj "  subject; 
           if (altname) out = out " -altname \"subjectAltName = DNS:" altname "\"";
           print out 
     } '  < whatever.txt
openssl ... -keyout foo.whatever.com_2025.key -subj "CN=foo.whatever.com,O=XYZ,L=Toronto,ST=Ontario,C=CA" -altname "subjectAltName = DNS:bar.whatever.com"

Use GNU awk's match(string, regexp, arrayresult)com a ()no regexp para capturar a parte desejada. Por exemplo

awk '
BEGIN  {F=" "; FS = "\n"; RS = ""; OFS = "\n"}
{ match($17, "CN=([^,]*)", x);
  cn = x[1]
  match($17, "\"(.*)\"", x)
  subject = x[1]
  if(match($18, "(DNS:.*)\"", x)>0){
   dns = x[1]
   toadd = " -addext \"subjectAltName = " dns "\""
  }
  print "openssl req -new -nodes -sha256 -newkey rsa:2048 -out " \
   cn "_2025.csr -keyout " \
   cn "_2025.key -subj \"/" \
   subject "\"" toadd
}'

Para responder à pergunta do OP sobre por que seu código está usando dados de line 1... verifique o conteúdo de RSTART. Você deve encontrar RSTART=0porque nenhuma função (por exemplo, match()) foi executada para realmente preencher RSTART.

Em vez de tentar processar a saída inteira como um parágrafo, sugiro processá-la como linhas individuais.

Uma awkabordagem diferente:

$ cat whatever.com | awk -F'"' '            # set double quotes as field delimiter
{ gsub(/[[:space:]]/,"",$1)                 # trim white space from 1st field
  if ($1=="subject")
     subject=$2                             # save for later use
  else
  if ($1=="subject-alternative-name")
     print "openssl req -new -nodes -sha256 -newkey rsa:2048 -out whatever.com_2025.csr -keyout whatever.com_2025.key -subj \"/" subject "\" -addext \"subjectAltName = " $2 "\""
}'

Isso gera:

openssl req -new -nodes -sha256 -newkey rsa:2048 -out whatever.com_2025.csr -keyout whatever.com_2025.key -subj "/CN=whatever.com,O=XYZ,L=Toronto,ST=Ontario,C=CA" -addext "subjectAltName = DNS:whatever.com"

Isso pressupõe que você pode processar linha por linha e não fazer todas as contorções de campo e registro que você fez. Também pressupõe que subject-alternative-nameestá sempre presente:

# Capture domain name in "subject" field, which starts with "CN=" and ends with a comma, and whole field too
/ +subject .*CN=[^,]+,O=/ {
  match($2, /"(CN=([^,]+),O=[^"]+")/, arr);
  domain=arr[2];
}

# Only print once we ascertain whether "DNS" is present in "subject-alternative-name" field
/ +subject-alternative-name / {
  # If we have "DNS" keyword, print with "-addext", otherwise print without
  if (match($2, /"(DNS:[^"]+)/, altarr))
    printf "openssl req -new -nodes -sha256 -newkey rsa:2048 -out %s_2025.csr -keyout %s_2025.key -subj \"/%s -addext \"subjectAltName = %s\"\n", domain, domain, arr[1], altarr[1];
  else
    printf "openssl req -new -nodes -sha256 -newkey rsa:2048 -out %s_2025.csr -keyout %s_2025.key -subj \"/%s\n", domain, domain, arr[1];
}

Com a DNSpalavra-chave:

$ awk -f /tmp/UL_789631.awk < /tmp/UL_789631.txt 
openssl req -new -nodes -sha256 -newkey rsa:2048 -out whatever.com_2025.csr -keyout whatever.com_2025.key -subj "/CN=whatever.com,O=XYZ,L=Toronto,ST=Ontario,C=CA" -addext "subjectAltName = DNS:whatever.com"

Sem a DNSpalavra-chave:

$ awk -f /tmp/UL_789631.awk < /tmp/UL_789631.txt 
openssl req -new -nodes -sha256 -newkey rsa:2048 -out whatever.com_2025.csr -keyout whatever.com_2025.key -subj "/CN=whatever.com,O=XYZ,L=Toronto,ST=Ontario,C=CA"

Isso usa subexpressões de expressão regular para capturar a parte relevante. A matchfunção faz uma correspondência de expressão regular e atribui as subexpressões (aquelas entre parênteses) a um array (aqui, arrpara o subjectcampo e altarrpara o subject-alternative-namecampo). Usamos duas subexpressões (sobrepostas) para subject: uma para o valor do campo e uma para o nome do domínio dentro do valor do campo.

A primeira /.../ {linha corresponde ao campo assunto (note os espaços para que não corresponda ao outro campo que começa com 'assunto'). O primeiro parêntesis do matchextrai o conteúdo do campo, e o segundo o nome do domínio.

O propósito do [^,]+é combinar tudo até e excluindo o (próximo) delimitador de vírgula de uma forma não gananciosa. Se você usasse .+,, ele capturaria tudo até C=CA.

Na conclusão desta correspondência, arrcontém o regex inteiro, a string de campo e a string de domínio.

Ainda não imprimimos porque ainda não sabemos o que incluir. (Você também pode imprimir uma linha parcial, se quiser, e adicionar um END { printf "\n"}.)

A correspondência do / +subject-alternative-name analisa o segundo campo para a DNSpalavra-chave, capturando todo o valor do campo e, se corresponder, imprime o comando estendido apropriado; caso contrário, imprime o comando regular.

Bom despertar!