OpenSSL 真的需要到 openssl.conf 的路径吗？

Question

我想在 PHP 5.x 中创建一个自签名证书。使用我自己的（替代）openssl 配置，该配置应该由我的 PHP 代码定义。 PHP 脚本将在不同的环境（共享主机网络服务器）上运行。

官方PHP Manual说：

默认情况下，你的系统openssl.conf中的信息用于初始化请求；您可以通过设置 configargs 的 config_section_section 键来指定配置文件部分。您还可以通过将 config 键的值设置为您要使用的文件的路径来指定 替代 openssl 配置文件。 以下键（如果存在于 configargs 中）的行为与它们在 openssl 中的等效项相同.conf，如下表所列.....

我的问题：我是否有理由明确指定 openssl.conf 的路径，因为没有它似乎可以正常工作：

$Configs = array(       
    'digest_alg' => 'sha1',
    'x509_extensions' => 'v3_ca',
    'req_extensions' => 'v3_req',
    'private_key_bits' => 1024,
    'private_key_type' => OPENSSL_KEYTYPE_RSA,
    'encrypt_key' => true,
    'encrypt_key_cipher' => OPENSSL_CIPHER_3DES
);

$privkey = openssl_pkey_new();
$csr = openssl_csr_new($dn, $privkey, $Configs);
$sscert = openssl_csr_sign($csr, null, $privkey, 365, $Configs);

编辑：

在PHP Manual的用户投稿笔记中，为什么总是指定openssl.cnf的路径？例如：

$configargs = array(
    'config' => '/etc/ssl/openssl.cnf',
    'digest_alg' => 'md5',
    'x509_extensions' => 'v3_ca',
    'req_extensions'   => 'v3_req',
    'private_key_bits' => 666,
    'private_key_type' => OPENSSL_KEYTYPE_RSA,
    'encrypt_key' => false,
);

Answer 1

OpenSSL 中有许多配置设置无法在 PHP 中通过 $configargs（传递给 OpenSSL 函数的 PHP 参数）来定义。

如果不指定替代的openssl配置文件，会自动采用默认的openssl.cnf。

建议：由于您的脚本将在不同的服务器上运行，因此您应该始终使用自己的 openssl.cnf。

只需创建一个简单的文本文件并将以下 4 行放入其中。然后将它的路径传递给您正在使用的 OpenSSL 函数（查看上面的第二个示例）。

distinguished_name  = req_distinguished_name
[req_distinguished_name]
[v3_req]
[v3_ca]

看来这4行是openssl.cnf必须包含的最低限度。

Answer 2

这个问题的答案与 SSL 的作用有关。它是围绕客户端和服务器之间的 html/http 对话的“外壳”。阿帕奇运行它。它并不是真正“在”PHP 领域。当您选择重新创建密钥对时，您真正要做的就是踢 Apache 以迫使客户端/服务器使用一对新的 SSL 密钥对重新启动它们的对话。

从某种意义上说，这可能有点像重新制作 session_id

我的问题：我是否有理由明确指定 openssl.conf 的路径，因为没有它似乎可以正常工作：

这里没有创建自签名证书，而是重新创建它。因此，当您不提供路径时，它很好，因为它已经有来自 Apache 的路径。

Answer 3

在没有 OpenSSL 的情况下在 PHP 中创建自签名证书（需要 phpseclib, a pure PHP X.509 implementation）...

<?php
include('File/X509.php');
include('Crypt/RSA.php');

// create private key / x.509 cert for stunnel / website
$privKey = new Crypt_RSA();
extract($privKey->createKey());
$privKey->loadKey($privatekey);

$pubKey = new Crypt_RSA();
$pubKey->loadKey($publickey);
$pubKey->setPublicKey();

$subject = new File_X509();
$subject->setPublicKey($pubKey);
$subject->setDNProp('id-at-organizationName', 'phpseclib demo cert');
$subject->setDomain('www.whatever.com');

$issuer = new File_X509();
$issuer->setPrivateKey($privKey);
$issuer->setDN($subject->getDN());

$x509 = new File_X509();
$x509->setStartDate('-1 month');
$x509->setEndDate('+1 year');
$x509->setSerialNumber(chr(30));

$result = $x509->sign($issuer, $subject);
echo "the stunnel.pem contents are as follows:\r\n\r\n";
echo $privKey->getPrivateKey();
echo "\r\n";
echo $x509->saveX509($result);
echo "\r\n";