Ошибка загрузки расширения «copy_extensions» в Openssl

При выполнении следующей команды в Ubuntu 19.10 с OpenSSl 1.1.1c 28 мая 2019 г.:

openssl req -config ${CNF_FILE} -key ${PRIVATE_FILE} -new -x509 -days 10950 -sha384 -extensions v3_ca -out ${CERT_FILE}

Я получаю следующий вывод:

Ошибка при загрузке раздела расширения v3_ca

140710502360256:ошибка:22097082:подпрограммы X509 V3:do_ext_nconf:неизвестное имя расширения:../crypto/x509v3/v3_conf.c:78:

140710502360256:ошибка:22098080:подпрограммы X509 V3:X509V3_EXT_nconf:ошибка в расширении:../crypto/x509v3/v3_conf.c:47:name=copy_extensions, value=copy

Со следующим конфигурационным файлом:

[ca ]
# `man ca`
default_ca = CA_default

[ CA_default ]
# Directory and file locations.
dir               = /home/ca
certs             = $dir/certs
crl_dir           = $dir/crl
new_certs_dir     = $dir/newcerts
database          = $dir/index.txt
serial            = $dir/serial
RANDFILE          = $dir/private/.rand

# The root key and root certificate.
private_key       = $dir/private/ca_ecc.key.pem
certificate       = $dir/certs/ca_ecc.cert.pem

# For certificate revocation lists.
crlnumber         = $dir/crlnumber
crl               = $dir/crl/ca.crl.pem
crl_extensions    = crl_ext
default_crl_days  = 30

# SHA-1 is deprecated, so use SHA-2 instead.
default_md        = sha256

name_opt          = ca_default
cert_opt          = ca_default
default_days      = 375
preserve          = no
policy            = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.
# See the POLICY FORMAT section of `man ca`.
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.
# See the POLICY FORMAT section of the `ca` man page.
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ req ]
# Options for the `req` tool (`man req`).
default_bits        = 2048
distinguished_name  = req_distinguished_name
string_mask         = utf8only

# SHA-1 is deprecated, so use SHA-2 instead.
default_md          = sha256

# Extension to add when the -x509 option is used.
x509_extensions     = v3_ca

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.
countryName                     = Country Name (2 letter code)
stateOrProvinceName             = State or Province Name
localityName                    = Locality Name
0.organizationName              = Organization Name
organizationalUnitName          = Organizational Unit Name
commonName                      = Common Name
emailAddress                    = Email Address

# Optionally, specify some defaults.
countryName_default             = US
stateOrProvinceName_default     = My State
localityName_default            = My City
0.organizationName_default      = My Company
organizationalUnitName_default  = My Office
emailAddress_default            = [email protected]

[ v3_ca ]
# Extensions for a typical CA (`man x509v3_config`).
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
copy_extensions = copy
preserve = yes

Ошибка ускользает от меня, и, чтобы дать некоторый фон, моя попытка состоит в том, чтобы использовать copy_extensions, так что, когда я передаю subjectAltName через -addext (или любым другим способом) в CSR, subjectAltName будет передаваться в подписанный сертификат при выполнении следующего (далее приведены команды openssl для промежуточного сертификата для подписи и создания клиентского или серверного сертификата, и все это работает нормально, за исключением того, что я только что сказал):

openssl ${algo_GEN} -out $PRIVATE_FILE

openssl req -config $CNF_FILE -key $PRIVATE_FILE -new -addext "subjectAltName = ${SAN_LIST}" -sha384 -out $CSR_FILE << EOF





${CERT_ID}

EOF

openssl ca -batch -config $CNF_FILE -extensions ${EXTENSION} -days 375 -notext -md sha384 -in $CSR_FILE -out $CERT_FILE -passin pass:${pass_key}

ssl openssl ca self-signed subject-alternative-name
person jj_inno    schedule 29.06.2020    source источник
comment
Спасибо за ваш ответ, но это не так. Директива copy_extensions понимается только командой openssl ca. Невозможно скопировать расширения из CSR в сертификат с помощью команды openssl x509. Я пытаюсь использовать ca, а не x509, и я также избегаю добавления SAN в файл конфигурации, потому что мне нужно регулярно добавлять уникальные SAN без использования файла конфигурации.   -  person jj_inno    schedule 29.06.2020
comment
Я пытаюсь использовать ca, а не x509, но ваша исходная команда openssl req указывает -extensions v3_ca, поэтому вы действительно используете ее здесь с req, а не только с ca.   -  person Crowman    schedule 29.06.2020
comment
Я вижу, на что вы указываете в отношении моего исходного блока кода, но та же ошибка все еще появляется, когда я создаю промежуточный ЦС, который не содержит флага -x509. 140599418533056: ошибка: 22097082: подпрограммы X509 V3: do_ext_nconf: неизвестное имя расширения:../crypto/x509v3/v3_conf.c:78: 140599418533056: ошибка: 22098080: подпрограммы X509 V3: X509V3_EXT_nconf: ошибка в расширении: x509v3/v3_conf.c:47:name=copy_extensions, значение=copy   -  person jj_inno    schedule 29.06.2020
comment
Если изначально CA не должен быть создан без флага -x509, и это вызывает появление ошибки позже, потому что ему назначено -x509, но если это правда, я все равно не уверен в этом, потому что, как я понимаю, -x509 необходим для самозаверяющего сертификата при создании ЦС.   -  person jj_inno    schedule 29.06.2020
comment
Разве вы не можете просто создать отдельный раздел файла конфигурации, который не включает copy_extensions, и указать это всякий раз, когда вы не используете openssl ca?   -  person Crowman    schedule 29.06.2020
comment
Из того, что я собрал, мне нужно использовать copy_extensions, чтобы я мог передавать SAN, определенные в CSR, в подписанный сертификат, созданный openssl ca.   -  person jj_inno    schedule 29.06.2020
comment
Да, но он нужен только для самой команды openssl ca. Это не будет работать с другими командами, потому что они не распознают его, как вы обнаружите.   -  person Crowman    schedule 29.06.2020
comment
Это может быть так, но если это так, знаете ли вы, как я могу выполнить передачу SAN из CSR в Signed Cert с информацией, которая у вас есть перед вами? Это не агрессивный вызов, просто я ищу перспективу, которую мне здесь может не хватать.   -  person jj_inno    schedule 29.06.2020
comment
Я чувствую, что я (и дублирующий ответ, если уж на то пошло) уже несколько раз говорил об этом: используйте команду openssl ca с copy_extensions для создания подписанного сертификата и не используйте copy_extensions при создании CSR. Использование copy_extensions при создании CSR не имеет смысла, потому что вы не пытаетесь откуда-то копировать расширения.   -  person Crowman    schedule 30.06.2020
comment
Я предоставляю ссылку на ответ на этот вопрос внизу, но чтобы дать краткое изложение ответа, «copy_extensions» необходимо поместить в расположение расширений «CA_default» в файле конфигурации. То же самое с опцией «сохранить». Они не могут существовать там, где они есть, потому что они должны быть напрямую связаны с ЦС, а не как часть вызываемого расширения. security.stackexchange.com/questions/233964/   -  person jj_inno    schedule 30.06.2020