LINUX.ORG.RU
ФорумAdmin

OpenSSL: как заставить запрашивать UID и включать его в сертификат?

 ,


0

2

Есть сервер с виртуалками и кучей сервисов на них, доступных по одному и тому же DNS-имени хоста, различаются только порты.
Хочется, чтобы для SSL-enabled сервисов генерировались сертификаты вида:

/C=RU/ST=Russia/O=Company/OU=IT/CN=test.host.domain/UID=ServiceID
Т.е., для примера ServiceID:
/C=RU/ST=Russia/O=Company/OU=IT/CN=test.host.domain/UID=PostgreSQL-testing

Меня бы устроил и такой вариант:
/C=RU/ST=Russia/O=Company/OU=IT/UID=PostgreSQL-testing+CN=test.host.domain

Попробовал в секцию req_distinguished_name прописать:

uid                      = ServerID or UserID (min. 3 letters, max 25 letters)
uid_min                  = 3 
uid_max                  = 25
uid_default              = WWW

Но это, ясен пень не работает: при генерации запроса даже вопроса такого про uid нет.

В общем, как бы это так сделать, чтобы при генерации сертификатов на один и тот же CN генерировались разные DN?

★★★★★

Может проще не городить огород, а дописывать UID куда-нить в OU, типа IT+ServiceID?

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

Правильный ответ: добавить userid в req_distinguished_name и его же в policy_match (optional). А вообще можно без req_distinguished_name обойтись элементарно: см. опцию -subj, в ней указывается полный DN сертификата, и если он подходит под policy_match - вам и слова дурного не скажут :)

DRVTiny ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.