PHP Conference Japan 2024

    openssl_csr_new

    (PHP 4 >= 4.2.0, PHP 5, PHP 7, PHP 8)

    openssl_csr_new生成证书签名请求 (CSR)

    描述

    openssl_csr_new(
        数组 $distinguished_names,
        #[\SensitiveParameter] ?OpenSSLAsymmetricKey &$private_key,
        ?数组 $options = null,
        ?数组 $extra_attributes = null
    ): OpenSSLCertificateSigningRequest|布尔值

    openssl_csr_new() 基于 distinguished_names 提供的信息生成一个新的 CSR

    注意: 此函数需要安装有效的 openssl.cnf 文件才能正常运行。有关更多信息,请参阅安装部分中的说明。

    参数

    distinguished_names

    证书中要使用的区别名称或主题字段。

    private_key

    private_key 应设置为先前由 openssl_pkey_new() 生成的私钥(或通过其他 openssl_pkey 系列函数获得),或 null 变量。如果其值为 null 变量,则会根据提供的 options 生成一个新的私钥并将其分配给提供的变量。密钥的相应公钥部分将用于签署 CSR

    options

    默认情况下,系统 openssl.conf 中的信息用于初始化请求;可以通过在 options 中设置 config_section_section 键来指定配置文件部分。还可以通过将 config 键的值设置为要使用的文件路径来指定替代的 OpenSSL 配置文件。如果 options 中存在以下键,则它们的行为与其在 openssl.conf 中的等效项相同,如下表所示。

    配置覆盖
    options 类型 openssl.conf 等效项 描述
    digest_alg 字符串 default_md 摘要方法或签名哈希,通常是 openssl_get_md_methods() 之一
    x509_extensions 字符串 x509_extensions 选择创建 x509 证书时应使用的扩展。
    req_extensions 字符串 req_extensions 选择创建 CSR 时应使用的扩展。
    private_key_bits 整数 default_bits 指定生成私钥时应使用多少位。
    private_key_type 整数 指定要创建的私钥类型。可以是 OPENSSL_KEYTYPE_DSAOPENSSL_KEYTYPE_DHOPENSSL_KEYTYPE_RSAOPENSSL_KEYTYPE_EC。默认值为 OPENSSL_KEYTYPE_RSA
    encrypt_key 布尔值 encrypt_key 导出的密钥(带密码)是否应加密?
    encrypt_key_cipher 整数 密码常量 之一。
    curve_name 字符串 openssl_get_curve_names() 之一。
    config 字符串 N/A 您自己的替代 openssl.conf 文件的路径。

    extra_attributes

    extra_attributes 用于指定 CSR 的其他配置选项。distinguished_namesextra_attributes 都是关联数组,其键被转换为 OID 并应用于请求的相关部分。

    返回值

    成功时返回 CSR,如果 CSR 创建成功但签名失败则返回 true,失败时返回 false

    变更日志

    版本 描述
    8.0.0 成功时,此函数现在返回一个 OpenSSLCertificateSigningRequest 实例;以前,返回的是类型为 OpenSSL X.509 CSR资源
    8.0.0 private_key 现在接受 OpenSSLAsymmetricKey 实例;以前,接受的是类型为 OpenSSL key资源
    7.1.0 options 现在也支持 curve_name

    示例

    示例 #1 创建自签名证书

    <?php
    // 对于SSL服务器证书,commonName是待保护的域名
    // 对于S/MIME电子邮件证书,commonName是电子邮件地址的所有者
    // 位置和标识字段指的是待保护的域名或电子邮件的所有者
    $dn = array(
    "countryName" => "GB",
    "stateOrProvinceName" => "Somerset",
    "localityName" => "Glastonbury",
    "organizationName" => "The Brain Room Limited",
    "organizationalUnitName" => "PHP Documentation Team",
    "commonName" => "Wez Furlong",
    "emailAddress" => "[email protected]"
    );

    // 生成新的私钥(和公钥)对
    $privkey = openssl_pkey_new(array(
    "private_key_bits" => 2048,
    "private_key_type" => OPENSSL_KEYTYPE_RSA,
    ));

    // 生成证书签名请求
    $csr = openssl_csr_new($dn, $privkey, array('digest_alg' => 'sha256'));

    // 生成自签名证书,有效期为365天
    $x509 = openssl_csr_sign($csr, null, $privkey, $days=365, array('digest_alg' => 'sha256'));

    // 保存私钥、CSR和自签名证书以备后用
    openssl_csr_export($csr, $csrout) and var_dump($csrout);
    openssl_x509_export($x509, $certout) and var_dump($certout);
    openssl_pkey_export($privkey, $pkeyout, "mypassword") and var_dump($pkeyout);

    // 显示此处发生的任何错误
    while (($e = openssl_error_string()) !== false) {
    echo     $e . "\n";
    }
    ?>

    示例 #2 创建自签名ECC证书(PHP 7.1.0及以上版本)

    <?php
    $subject     = array(
    "commonName" => "docs.php.net",
    );

    // 生成新的私钥(和公钥)对
    $private_key = openssl_pkey_new(array(
    "private_key_type" => OPENSSL_KEYTYPE_EC,
    "curve_name" => 'prime256v1',
    ));

    // 生成证书签名请求
    $csr = openssl_csr_new($subject, $private_key, array('digest_alg' => 'sha384'));

    // 生成自签名EC证书
    $x509 = openssl_csr_sign($csr, null, $private_key, $days=365, array('digest_alg' => 'sha384'));
    openssl_x509_export_to_file($x509, 'ecc-cert.pem');
    openssl_pkey_export_to_file($private_key, 'ecc-private.key');
    ?>

    参见

    发现问题?

    了解如何改进此页面提交拉取请求报告错误
    添加注释

    用户贡献的注释 10条注释

    12
    The_Lost_One
    15年前
    我不确定我遇到的“bug”(未记录的行为)是否对其他人也普遍存在,但此评论可能会节省数小时的痛苦调试时间。
    如果您无法使用openssl_pkey_new()或openssl_csr_new()生成新的私钥,则您的脚本在调用这些函数期间会挂起,如果您指定了“private_key_bits”参数,请确保将变量强制转换为int类型。我花了很长时间才注意到这一点。

    <?php
    $SSLcnf     = array('config' => '/usr/local/nessy2/share/ssl/openssl.cnf',
    'encrypt_key' => true,
    'private_key_type' => OPENSSL_KEYTYPE_RSA,
    'digest_alg' => 'sha1',
    'x509_extensions' => 'v3_ca',
    'private_key_bits' => $someVariable // ---> 错误
    'private_key_bits' => (int)$someVariable // ---> 正确
    'private_key_bits' => 512 // ---> 显然正确
    );
    ?>
    6
    james at kirk dot com
    9年前
    如有疑问,请阅读PHP的源代码!

    $configargs 对幕后发生的事情相当不透明。也就是说,直到您实际查看`/ext/openssl/openssl.c`中的`php_openssl_parse_config()`。

    SET_OPTIONAL_STRING_ARG("digest_alg", req->digest_name,
    CONF_get_string(req->req_config, req->section_name, "default_md"));
    SET_OPTIONAL_STRING_ARG("x509_extensions", req->extensions_section,
    CONF_get_string(req->req_config, req->section_name, "x509_extensions"));
    SET_OPTIONAL_STRING_ARG("req_extensions", req->request_extensions_section,
    CONF_get_string(req->req_config, req->section_name, "req_extensions"));
    SET_OPTIONAL_LONG_ARG("private_key_bits", req->priv_key_bits,
    CONF_get_number(req->req_config, req->section_name, "default_bits"));

    SET_OPTIONAL_LONG_ARG("private_key_type", req->priv_key_type, OPENSSL_KEYTYPE_DEFAULT);

    在这里我们可以看到,大多数输入都调用了SET_OPTIONAL_STRING_ARG(),但对于'private_key_bits',则调用了SET_OPTIONAL_LONG_ARG()。这两个调用都是C宏,扩展到强制执行预期输入类型的代码。如果使用意外类型,生成的代码会忽略输入而不会发出警告/通知,而只使用配置文件中的默认值。这就是为什么使用字符串作为'private_key_bits'会导致意外行为的原因。

    进一步检查同一函数中较早的初始化

    SET_OPTIONAL_STRING_ARG("config", req->config_filename, default_ssl_conf_filename);
    SET_OPTIONAL_STRING_ARG("config_section_name", req->section_name, "req");
    req->global_config = CONF_load(NULL, default_ssl_conf_filename, NULL);
    req->req_config = CONF_load(NULL, req->config_filename, NULL);

    if (req->req_config == NULL) {
    return FAILURE;
    }

    在另一个函数中的其他地方

    /* 如果未设置环境变量,则默认为'openssl.cnf' */
    if (config_filename == NULL) {
    snprintf(default_ssl_conf_filename, sizeof(default_ssl_conf_filename), "%s/%s",
    X509_get_default_cert_area(),
    "openssl.cnf");
    } else {
    strlcpy(default_ssl_conf_filename, config_filename, sizeof(default_ssl_conf_filename));
    }

    显示$configargs中的'config'覆盖了其他地方的任何默认设置。这实际上否定了文档中的注释,该注释说“注意:此函数需要安装有效的openssl.cnf才能正常运行。有关更多信息,请参阅安装部分下的注释。”更正确的句子应该是“注意:此函数需要设置有效的openssl.cnf或使用$configargs指向有效的openssl.cnf文件才能正常运行。”

    所有这些都表明,查看PHP源代码是弄清实际发生情况的唯一真正方法。这样做可以节省时间和精力。
    3
    Anonymous
    9年前
    对于使用基于Debian的系统的用户,openssl配置文件位于:/etc/ssl/openssl.cnf
    2
    main ATT jokester DOTT fr
    16年前
    要将“basicConstraints”设置为“critical,CA:TRUE”,必须定义configargs,但在openssl_csr_sign()函数中!

    这是我签名“子”证书的代码示例

    $CAcrt = "file://ca.crt";
    $CAkey = array("file://ca.key", "myPassWord");

    $clientKeys = openssl_pkey_new();
    $dn = array(
    "countryName" => "FR",
    "stateOrProvinceName" => "Finistere",
    "localityName" => "Plouzane",
    "organizationName" => "Ecole Nationale d'Ingenieurs de Brest",
    "organizationalUnitName" => "Enib Students",
    "commonName" => "www.enib.fr",
    "emailAddress" => "[email protected]"
    );
    $csr = openssl_csr_new($dn, $clientPrivKey);

    $configArgs = array("x509_extensions" => "v3_req");
    $cert = openssl_csr_sign($csr, $CAcrt, $CAkey, 100, $configArgs);

    openssl_x509_export_to_file($cert, "childCert.crt");

    然后,如果您想添加更多选项,可以编辑"/etc/ssl/openssl.cnf" ssl配置文件(Debian路径),并在“[ v3_req ]”标签后添加这些选项。
    1
    Richard Lynch
    11年前
    似乎没有openssl_csr_free函数。

    至少这里没有。

    如果它在源代码中,可以尝试直接调用它。

    如果它不在源代码中,可能应该添加它。
    2
    alex at nodex dot co dot uk
    9年前
    在上面的PHP示例中,它使用“UK”作为国家名称,这是不正确的,国家名称必须是“GB”。
    0
    匿名用户
    19年前
    如果您遇到以下错误:

    error:0D11A086:asn1 encoding routines:ASN1_mbstring_copy:string too short

    请检查$dn(区分名称)数组中的键值对。

    如果某个值(例如"organizationalUnitName" = "")设置为空字符串,则会抛出上述错误。

    通过完全从$dn中删除该数组元素或使用空格" "代替空字符串来修复此错误。
    0
    robertliu AT wiscore DOT com
    19年前
    我正在使用PHP-4.3.11。
    configargs--private_key_bits 的类型是整数,而不是字符串。
    配置示例
    <?php
    $config     = array(
    "digest_alg" => "sha1",
    "private_key_bits" => 2048,
    "private_key_type" => OPENSSL_KEYTYPE_DSA,
    "encrypt_key" => false
    );
    ?>
    -1
    dankybastard at hotmail
    19年前
    正如您从示例中可能猜到的那样,文档信息不准确。openssl_csr_new 返回 CSR 资源或在失败时返回 FALSE。

    mixed openssl_csr_new (assoc_array dn, resource_privkey, [...])
    -3
    @operator
    7年前
    一条命令即可创建具有4个SAN子域的现代证书请求。
    根据RFC,您可以更改CN(通用名称)和subjectAltName。证书验证时会在CN和subjectAltName中搜索。

    openssl req -new -nodes -config <( cat <<-EOF
    [req]
    default_bits = 2048
    prompt = no
    default_md = sha256
    req_extensions = re
    distinguished_name = dn
    [ dn ]
    CN = my.tld
    C = 国家
    ST = 省份/州
    L = 城市/地区
    O = 组织
    [ re ]
    subjectAltName = DNS.1: www.my.tld, DNS.2: www2.my.tld, DNS.3: www3.my.tld, DNS.4: www4.my.tld
    EOF
    ) -keyout secret.key -out req.csr
    添加注释
    To Top