首先,我在谷歌上搜索了 openssl,比如这个,并且还尝试了数十次创建有效的自签名证书。
但我想询问服务器故障会快得多。
我的平台是一台安装了 openssl 3.2.0 精简版的 Windows 10 计算机。基础设施没有域存在,只是一个测试环境。
目标是为Windows主机和Windows远程管理https协议创建一个自签名证书以供使用,我确实知道Windows powershell“New-SelfSignedCertificate”可以直接解决我的需求,但这不是我想要的。
Openssl 是我需要的工具。我想使用 openssl 生成一个自签名证书(从 0 开始),与“New-SelfSignedCertificate”可以生成的证书相同。
我在导入证书(从 openssl 生成)后配置“winrm”时遇到问题。错误消息是:
settings Error number: -2144108306 0x803380EE
The WinRM client cannot process the request.
The Enhanced Key Usage (EKU) field of the certificate is not set to "Server Authentication".
Retry the request with a certificate that has the correct EKU.
这是我用来创建自签名证书的命令:
#Generate a private key
openssl genpkey -algorithm RSA -out private-key.pem
#生成证书签名请求(CSR)
openssl req -new -key private-key.pem -out certificatesigningrequest.pem -days 3650 -subj "/C=US/ST=Colorado/L=aspen/CN=10.0.2.4/OU=myhostgroup/O=testinfra" -addext "keyUsage=digitalSignature,keyEncipherment" -addext "extendedKeyUsage=serverAuth,clientAuth"
#生成自签名证书
openssl x509 -req -in certificatesigningrequest.pem -signkey private-key.pem -out self-signed.crt
#将私钥和证书合并到PKCS#12文件中(PFX/P12)
openssl pkcs12 -export -in self-signed.crt -inkey private-key.pem -out certificate.pfx -password pass:P@ssw0rd
执行上面列出的命令行时,它们都没有错误消息,但是,“keyUsage”和“extendedKeyUsage”永远无法插入,并且这些扩展永远不会出现在证书中。当尝试使用 https 配置 winrm 以使用此证书时,结果是错误消息,如上所示。
我想逐一解决问题。
任何人都可以提供一些关于如何使用 openssl 3 处理证书扩展的提示吗?
without不会从 CSR 复制扩展名,
openssl x509 -req因此-copy_extensions您必须添加,例如-copy_extensions=copyall.另外,您
-days 3650在错误的命令中指定了; 它也抱怨这一点。尝试像这样改变你的工作流程:
生成私钥(按原样):
生成证书签名请求 (CSR):
(将 移至
-days 3650下一个命令。)生成自签名证书:
您现在可以测试
openssl x509 -in self-signed.crt -text -noout它是否具有扩展名:将私钥和证书合并到 PKCS#12 文件 (PFX/P12) 中(按原样):