Генерировать 2048 бит и пароль, защищенный csr?

Question

Генерировать 2048 бит и пароль, защищенный csr?

Я пытаюсь сгенерировать CSR через PHP. Но CA продолжает отказывать в моем CSR, так как они говорят, что он не 2048 бит и не защищен паролем. Но когда я смотрю в документации PHP для функции openssl_csr_new (), я не могу найти, как это сделать?

Мой текущий код:

$dn = array(
'countryName' => $countryName,
'stateOrProvinceName' => $stateOrProvinceName,
'localityName' => $localityName,
'organizationName' => $organizationName,
'commonName' => $commonName,
'emailAddress' => $emailAddress
);

if(!empty($organizationalUnitName))
$dn['organizationalUnitName'] = $organizationalUnitName;

$csrSettings = array('private_key_bits' => 2048, 'private_key_type' => OPENSSL_KEYTYPE_RSA, 'encrypt_key' => true);

// Generate a new private (and public) key pair
$privkey = openssl_pkey_new($csrSettings);

// Generate a certificate signing request
$csr = openssl_csr_new($dn, $privkey, $csrSettings);
openssl_csr_export($csr, $csrout);
openssl_pkey_export($privkey, $pkeyout);

Что я делаю неправильно?

—— Обновленный код: ——-

$dn = array(
'countryName' => $countryName,
'stateOrProvinceName' => $stateOrProvinceName,
'localityName' => $localityName,
'organizationName' => $organizationName,
'commonName' => $commonName,
'emailAddress' => $emailAddress
);

if(!empty($organizationalUnitName))
$dn['organizationalUnitName'] = $organizationalUnitName;

$csrSettings = array('private_key_bits' => 2048, 'private_key_type' => OPENSSL_KEYTYPE_RSA, 'encrypt_key' => true);

// Generate a new private (and public) key pair
$privkey = openssl_pkey_new($csrSettings);

// Generate a certificate signing request
openssl_pkey_export($privkey, $pkeyout, 'test 1235 aaaaa');

$csr = openssl_csr_new($dn, $pkeyout, $csrSettings);
openssl_csr_export($csr, $csrout);

1

csr openssl php ssl

Решение

Другие решения

У вас все неправильно, и по какой-то причине вы делаете openssl_pkey_new() дважды. Я настоятельно рекомендую вам ознакомиться с документацией и понять, на что способны все эти функции, потому что от этого зависит безопасность вашего сайта. Это то, что вы хотите:

$dn = array(
'countryName' => $countryName,
'stateOrProvinceName' => $stateOrProvinceName,
'localityName' => $localityName,
'organizationName' => $organizationName,
'commonName' => $commonName,
'emailAddress' => $emailAddress
);

$csrSettings = array('private_key_bits' => 2048, 'private_key_type' => OPENSSL_KEYTYPE_RSA, 'encrypt_key' => true);

// Generate a new private (and public) key pair
$privkey = openssl_pkey_new($csrSettings);

// Generate a certificate signing request
$csr = openssl_csr_new($dn, $privkey, $csrSettings);

openssl_csr_export($csr, $csrout);
openssl_pkey_export($privkey, $pkeyout, "test 1235 aaaaa");

echo $csrout . "\n" . $pkeyout;

Пример вывода:

0

Источник

Accepted Answer

С phpseclib, чистая реализация PHP CSR,

<?php
include('File/X509.php');
include('Crypt/RSA.php');

$privKey = new Crypt_RSA();
extract($privKey->createKey(2048));
$privKey->loadKey($privatekey);

$x509 = new File_X509();
$x509->setPrivateKey($privKey);
$x509->setDNProp('id-at-organizationName', 'phpseclib demo cert');

$csr = $x509->signCSR();

echo $x509->saveCSR($csr);
?>

Вы не можете защитить паролем CSR, однако. Вы можете защитить личный ключ паролем, но вам все равно не следует делиться секретным ключом с ЦС.

Если ЦС настаивает на том, что вы можете попросить у них пример того, как вы можете сделать это с OpenSSL через CLI. Возможно, они просто не совсем понимают, что они имеют в виду, но наличие команды CLI даст нам знать наверняка.

1