我正在尝试为用户创建具有 x.509 证书身份验证的 IPSec VPN 连接。

接下来是一个让事情顺利进行的测试，并不是一个安全的实现。当我得到这个工作时，我将从受信任的来源获得证书，同时我正在使用自签名。

我在 Windows 10 20H2 上

1- 我用 XCA 创建了一个根证书。

2- 我为我的第一个 vpn 用户创建了一个证书签名请求。

3- 我用 XCA 签署请求

4-我以 PEM 格式从 XCA 导出请求

5- 我安装 OpenSSL 并将环境变量 OPENSSL_CONF 设置为安装文件夹中的 openssl.cfg。我在 W10 上使用https://slproweb.com/products/Win32OpenSSL.html（64位）作为 openSSL

6- 乐趣开始了。

据我了解，我必须使用管理单元证书通过命令行中的 mmc 在 Windows 机器中添加证书。添加向导的东西。它不接受 pem 格式，它需要一个 crt。

然后我参考 OpenSSL 进行格式转换

当我输入 x509 -in CERT.pem -out CERTII.crt

我收到以下错误：

Can't open CERT.pem for reading, No such file or directory
15732:error:02001002:system library:fopen:No such file or directory:crypto\bio\bss_file.c:69:fopen('CERT.pem','r')
15732:error:2006D080:BIO routines:BIO_new_file:no such file:crypto\bio\bss_file.c:76:
unable to load certificate
error in x509

我已经搜索了很多，但找不到这个错误的确切含义，我正在考虑将头发一根一根地拔出来作为一种可行的选择。

编辑 2020-12-11 1600

重命名为 .crt 并添加到本地证书给了我一个错误：

file type is not recognizable. Select another file.

此外，即使使用 admin priv. 在 openssl cli 中指定完整路径，我也会收到错误消息。

例如，如果我将证书复制到 OpenSSL 文件夹中，并尝试执行命令“openssl x509 -in CERT.pem -out CERT.crt”，则会出现以下错误：

"unable to load certificate
15252:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
error in x509"

编辑 2020-12-10 1610 - 证书片段

-----BEGIN CERTIFICATE REQUEST-----
MIIDGjCCAgICAQAwgaExCzAJBgNVBAYTAkNBMQ8wDQYDVQQIEwZRVUVCRUMxEjAQ
....
hfz1ew0RTMxZv2hMlN/wn5Y0EZKpRr5jMrgZprG7
-----END CERTIFICATE REQUEST-----

我猜它不应该被列为请求，而是作为签名证书？

编辑 2020-12-10 1626 EST

UnNamed 解决了我的问题。对他们大喊大叫。

在 XCA 中，当您签署请求时，并不清楚它需要从不同的选项卡（证书）导出。

在用于签署用户证书的根证书下，是一个带有已签名用户证书的下拉列表。在为其中的证书创建自定义视图后，我能够将其导出并将其添加到 mmc 中而不会出现问题。

继续从这里设置 VPN。

CSR 属性字段中的 a0:00 是什么意思？（它是空的还是空的？）

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=...
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (... bit)
                Modulus: ...
                Exponent: ...
        Attributes:
            a0:00

在相关的说明中，即使我的配置文件甚至没有提到假定的属性字段，该字段是否也会显示？

[ req ]
default_bits       = ...
default_md         = ...
default_keyfile    = ...
distinguished_name = d_name
string_mask        = ...

[ d_name ]
...

我已经了解了如何使用 OpenSSL 生成 .csr 文件，并且已经成功地创建、转换并安装了签名证书（.pfx 文件）到我们使用 IIS 10 的一些 Web 服务器上。

现在，其他人向我展示了如何直接从我们的其他 Web 服务器之一生成 .csr 文件 - 使用 IIS 10 中可用的“创建证书请求”功能。但是 - 使用这种方法，我没有创建一个 .pfx 文件，我能够将下载的签名证书安装到 IIS 上，而无需进行任何转换。所以这样做要快得多 - 但是，我不明白为什么在这种情况下使用这种方法而不是 OpenSSL。最终结果不同吗？有人可以启发我吗？

如何在使用 OpenSSL 签署证书请求时添加主题备用名称（如果重要，在 Windows 中）？

我已经从 IIS 接口生成了一个基本的证书签名请求 (CSR)。现在，我想添加几个主题备用名称，使用现有的根证书对其进行签名，然后返回证书以完成签名请求。

我能找到的每个教程都涉及生成一个新的私钥和一个全新的 CSR，但是我的印象是私钥驻留在请求计算机上（我不一定有权访问）。我只想在添加备用名称时签署请求。我对 OpenSSL 和 CA 主题比较陌生，所以这可能是我的误解。

我需要 HTTPS 服务器的 SSL 证书。我想提供自签名证书和 CA 签名证书之间的选择。

我可以使用以下 OpenSSL 命令生成自签名 SSL 证书：

openssl req -newkey rsa:512 -x509 -days 365 -nodes -out cert.pem -keyout cert.pem
openssl dhparam -inform pem -in cert.pem -outform pem -out dhparam.pem 512
cat dhparam.pem >> cert.pem 

如果我想要一个 CA 签名的证书，我可以生成一个 CSR（证书签名请求）：

openssl req -newkey rsa:512  -nodes -out cert.csr -keyout cert.key

并将其发送给一个 CA。接着 ？我想知道 CA 发回的是什么：只有证书，还是证书和DH 参数，因为它们用于浏览器和服务器之间的协商？

[在 StackOverflow 上被问到]

编辑：似乎 CA 只提供证书，这意味着我需要连接

• 私钥
• 证书
• DH参数

有人可以确认吗？

我需要帮助为主题备用名称 (SAN) SSL 证书生成 CSR 以保护新的 Exchange 2007 服务器。我的主要要求是 Outlook Anywhere 和 OWA 必须在没有任何错误或警告的情况下正常工作。如果 Outlook Anywhere 自动发现服务也适用于 Outlook 2007 客户端，那就太好了。

我知道生成 CSR 的正确语法有很多示例，但大多数示例假定您的 Windows 域与您的 Web 域命名相同。以下是我认为的相关信息：

• 内部 Windows 域名：internalDomain.local
• 外部网域：externalDomain.com
• Exchange Server 计算机名称：Ex2k7
• 我想使用 2048 位 SSL，除非有理由使用 1024
• Exchange 2007 在 Server 2008 机器上运行

我的远程客户端将连接到位于 mail.externalDomain.com 的新 Exchange 服务器。

我的证书是从 GoDaddy 购买的，它适用于 OWA，但 Outlook Anywhere 已损坏。如果有人可以帮助我使用正确的语法为我的情况生成 CSR，我想重新输入我的证书。