Мне нужно перевыпустить SSL-сертификаты примерно для 30 моих клиентов. Я надеялся на простой способ получить содержимое их текущих CSR и передать их в openssl req -new ... и сгенерируйте совершенно новый набор CSR и новых ключей. Я видел на странице руководства openssl, что вы можете сделать openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem но ожидается, что key.pem уже будет создан.
Может ли кто-нибудь помочь с другим способом сделать это, кроме просмотра содержимого каждого отдельного сертификата и копирования и вставки в новый запрос?
Спасибо!
Смысл упражнения по смене ключей заключается в создании новой пары закрытого / открытого ключей. В key.pem файл, указанный в этой команде, является вашим новым закрытым ключом.
Вы можете создать его с помощью openssl genrsa 2048 > newkey.pem команда. Вы, вероятно, захотите заменить модуль (размер ключа), который вы используете в настоящее время, а не просто слепо использовать 2048. Вы можете получить модуль текущего сертификата, если хотите, с помощью openssl x590 -noout -modulus -in current.crt команда. Подсчитываем количество шестнадцатеричных цифр после знака «=» в выходных данных и умножаем это количество на 4, чтобы получить количество битов.
После создания нового закрытого ключа вы можете использовать openssl x509 -x509toreq команда для создания нового CSR.
Редактировать:
Я предположил, что вы не единственный, кто это ищет, и немного искал. Я пришел с этот очень разумно выглядящий сценарий для смены ключей и генерации CSR из командной строки.