SSL 证书：如何显示国家和州信息？答案

【问题标题】：SSL Certificate: How to display country and state information?SSL 证书：如何显示国家和州信息？
【发布时间】：2013-12-24 08:08:19
【问题描述】：

创建 CSR 时，由于 conf 可以获取国家和州信息，我假设它将嵌入到证书中。如果是这样，证书签名后如何显示？我试过“$ openssl x509 -in foo.crt -noout -text”，但似乎信息不存在。我还检查了“-help”。还有其他打印方式吗？非常感谢。

更多发现：签署 CSR 时似乎删除了国家和州信息，对吗？

例如，这是我观察到的。

$ openssl req -text -noout -in server.csr
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: Subject: DC=..., DC=..., C=..., ST=..., L=..., O=..., OU=..., CN=...
...

$ openssl x509 -text -noout -in server.crt
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: DC=..., DC=..., O=..., OU=..., CN=...
    Validity
        Not Before: Dec  5 22:05:21 2013 GMT
        Not After : Dec  5 22:05:21 2015 GMT
    Subject: DC=..., DC=..., O=..., OU=..., CN=...

如所见，证书中缺少主题中的“C”、“ST”和“L”字段。

【问题讨论】：

标签： ssl openssl certificate ssl-certificate

【解决方案1】：

国家和州信息分别在主题下和 C 和 ST 字段中。

据我所知，发行人不会删除 CSR 中存在的任何信息。

【讨论】：

这很奇怪，至少不是我所看到的。请检查我最近的编辑。谢谢。
他们绝对可以并且应该根据存在的信息删除 CSR 中存在的信息。相反，他们不会（不应该）将任何未经明确验证的内容放入 CSR。
@Jumbogram，我可以调整任何配置来维护从 CSR 到 CERT 的国家/州/城市信息吗？谢谢。

【解决方案2】：

您将使用您已经在使用的相同命令（如果您只关心主题信息，您可以使用openssl x509 -subject -noout -in server.crt，将-text 替换为-subject）。您的问题是，正如您所指出的，签名者删除了城市和州信息。将哪些信息放入证书最终是颁发者的特权。

【讨论】：

这是自签名 CA。我使用命令“openssl ca -config server.conf -in server.csr -out server.crt”来签名。这里有什么要改进的吗？
取决于你的配置。您可以使用-subj 参数：openssl.org/docs/apps/ca.html
谢谢，我去测试一下。
如果您只是制作自签名证书，您可以忘记配置，只需使用 akadia.com/services/ssh_test_certificate.html 中的步骤 1-4，或通过 stackoverflow.com/a/10176685/535741 中列出的单个命令（@ 987654328@)
我只想在看到您的评论之前进行编辑。事实证明，我需要修改配置文件中的匹配策略以将国家/州/城市名称设置为匹配。然后它将从 CSR 复制到 CERT。所以我会继续使用conf文件，但非常感谢你的评论。

【解决方案3】：

显示 SSL 证书的内容：

openssl x509 -in certificate.crt -text -noout

【讨论】：