Crear certificado SSL de forma no interactiva [cerrado]

Cerrada . Esta pregunta necesita detalles o claridad . Actualmente no está aceptando respuestas.

¿Quieres mejorar esta pregunta? Agregue detalles y aclare el problema editando esta publicación .

Cerrado hace 6 años .

Quiero silenciosamente, no interactivamente, crear un certificado SSL. Es decir, sin que se le solicite ningún dato.

La forma normal en que creo el certificado sería:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 \
    -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Intenté lo siguiente:

openssl genrsa -out server.key 2048
touch openssl.cnf

cat >> openssl.cnf <<EOF
[ req ]
prompt = no
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
C = GB
ST = Test State
L = Test Locality
O = Org Name
OU = Org Unit Name
CN = Common Name
emailAddress = test@email.com
EOF

openssl req -x509 -config openssl.cnf -nodes -days 7300 \
    -signkey server.key -out /etc/ssl/private/pure-ftpd.pem

Pero todavía recibo una solicitud de datos.

scripting ssl TheNiceGuy
fuente

¿Puede proporcionar una explicación o salida de lo que está sucediendo en lugar del resultado deseado?

Patrick

Obtengo la ayuda como resultado. Algo está mal con los parámetros aquí:openssl req -x509 -config openssl.cnf -nodes -days 7300 -signkey server.key -out /etc/ssl/private/pure-ftpd.pem

TheNiceGuy

Es mejor proporcionar la salida de errores cuando tiene problemas. Supongo que su problema se debe a -signkey. Esta no es una openssl reqopción válida en mi sistema. El mensaje de error tendrá esto como la primera línea:unknown option -signkey

Patrick

Bueno, ¿esa clave de signo debería decirle a SSL que use la clave proporcionada como lo sé?

TheNiceGuy

Su "forma normal de crear el certificado" no solicita ningún dato. ¿No quieres que produzca algo? Entonces úsalo 2> /dev/null.

wingedsubmariner

Respuestas:

Lo que falta es incluir el asunto del certificado en la -subjbandera. Prefiero esto a crear un archivo de configuración porque es más fácil de integrar en un flujo de trabajo y no requiere limpieza después.

Clave de un paso y generación de RSE:

openssl req -new -newkey rsa:4096 -nodes \
    -keyout www.example.com.key -out www.example.com.csr \
    -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com"

Generación de certificado sin contraseña autofirmado en un paso:

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \
    -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com" \
    -keyout www.example.com.key  -out www.example.com.cert

Ninguno de estos comandos solicitará ningún dato.

Vea mi respuesta a esta pregunta casi idéntica en Super User.

bahamat
fuente

O bueno, esa es una buena solución. Hace los códigos mucho más pequeños. Gracias: D

TheNiceGuy

No modifiqué su archivo de configuración original, ya que pensé que podría ser un sustituto de un certificado más complicado. Algunas configuraciones que no se pueden representar con un -subjparámetro, particularmente cuando ingresa a extensiones v3 y parámetros subjectAltName.

robbat2

También puede usar -batch(modo no interactivo)

Eran H.

Tenga en cuenta que el primer comando parece requerir que la clave exista antes de que pueda ejecutarse donde el segundo comando crea su clave y certificado automáticamente porque -subjes una CSR en línea válida básica.

dragon788

@ dragon788 Gracias por señalarlo. Lo arreglé.

bahamat

El comando que estás buscando es:

openssl req -new -x509 -config openssl.cnf -nodes -days 7300 -key server.key -out /etc/ssl/private/pure-ftpd.pem

Cambios desde su versión:

-new se requiere para generar cualquier cosa
-key utilizado en lugar de -signkey

robbat2
fuente