जावा 1.7 कीटूल उपयोगिता का उपयोग करते हुए विषय वैकल्पिक नाम के साथ प्रमाणपत्र उत्पन्न करने में असमर्थ


13

मैं keytoolजावा 1.7 से जावा उपयोगिता का उपयोग करते हुए विषय वैकल्पिक नाम के साथ एक कीपर जनरेट करने वाला मुद्दा हूं । मैं यहां मिले निर्देशों का पालन करने का प्रयास कर रहा हूं ।

मैं जिस कमांड का उपयोग कर रहा हूं उसका एक उदाहरण (इस उदाहरण का परीक्षण किया गया है):

keytool -keystore c:\temp\keystore.jks -storepass changeme -keypass changeme -alias spam -genkeypair -keysize 2048 -keyalg RSA -dname "CN=spam.example.com, OU=Spam NA, O=Spam Inc, L=Anywhere, S=State, C=US" -ext san=dns:spam,ip:192.168.0.1

फिर मैं निम्नलिखित कमांड का उपयोग करके सीएसआर उत्पन्न करता हूं:

keytool -keystore c:\temp\keystore.jks -storepass changeme -alias spam -certreq -file c:\temp\spam.csr

जो निम्नलिखित प्रमाणपत्र अनुरोध उत्पन्न करता है:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

जब मैं एसएसएल शॉपर्स पर सीएसआर डिकोडर का उपयोग करके सीएसआर की जांच करता हूं , तो यह नहीं दिखाता है कि इसमें निर्दिष्ट सैन शामिल है। यह प्रमाणपत्र हमारे वातावरण में आंतरिक उपयोग के लिए है, और सैन की आवश्यकता है क्योंकि उपयोगकर्ता FQDN, सर्वर नाम, या आईपी पते का उपयोग करके साइट तक पहुंच सकते हैं।

मैं समस्या निवारण करना जारी रख रहा हूं, लेकिन मैं उस तरह के अनुभव नहीं कर रहा हूं , इसलिए मैं नुकसान में हूं, और हमारे पर्यावरण के अधिकांश अन्य लोग keytoolअपने अनाज को उत्पन्न करने के लिए उपयोग नहीं कर रहे हैं ।

विचार? वैकल्पिक? मैं निश्चित रूप से कुंजी और CSR उत्पन्न करने के लिए एक अलग विधि का उपयोग करने के लिए तैयार हूं, जब तक कि मैं इसे किसी बिंदु पर जावा कीस्टोर में आयात कर सकता हूं।


"CN = spam.example.com" - CN में DNS नाम रखने से IETF और CA / ब्राउज़र फ़ोरम दोनों को हटा दिया जाता है। इसके बजाय, "स्पैम इंक" जैसे CN में एक अनुकूल नाम रखें। सैन में सभी DNS नाम रखें।

जवाबों:


13

आपको -extध्वज को दूसरी कमांड पर भी भेजने की आवश्यकता है :

$ keytool -keystore keystore.jks -storepass changeme -alias spam -certreq -ext san=dns:spam,ip:192.168.0.1 -file spam.csr

तब प्रमाणपत्र में पूरा नाम शामिल होता है:

$ openssl x509 -noout -text -in spam.csr | grep -A2 "Requested Extensions"
        Requested Extensions:
            X509v3 Subject Alternative Name:
                DNS:spam, IP Address:192.168.0.1

1
धन्यवाद। मैं बस पोस्ट करने के लिए लॉग इन कर रहा था कि मुझे लगा कि रात भर (किसी स्थानीय से थोड़ी मदद के साथ)। काश मैं इसे क्यों समझ keytoolपाता , क्योंकि डॉक्स मुझे (कम से कम मेरे लिए) ऐसा प्रतीत नहीं होता कि इसकी आवश्यकता है। लेकिन कम से कम इसका जवाब है कि मैं साथ रह सकता हूं और मुझे पता है कि मैं पूरी तरह से अपने दिमाग से बाहर नहीं जा रहा हूं। धन्यवाद।
डग आर।
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.