PHP 日本大会 2024

    openssl_csr_sign

    (PHP 4 >= 4.2.0, PHP 5, PHP 7, PHP 8)

    openssl_csr_sign使用另一个证书(或自身)签署 CSR 并生成证书

    描述

    openssl_csr_sign(
        OpenSSLCertificateSigningRequest|string $csr,
        OpenSSLCertificate|string|null $ca_certificate,
        #[\SensitiveParameter] OpenSSLAsymmetricKey|OpenSSLCertificate|array|string $private_key,
        int $days,
        ?array $options = null,
        int $serial = 0,
        ?string $serial_hex = null
    ): OpenSSLCertificate|false

    openssl_csr_sign() 从给定的 CSR 生成 x509 证书。

    注意: 此函数需要安装有效的 openssl.cnf 才能正常运行。有关更多信息,请参阅安装部分中的说明。

    参数

    csr

    之前由 openssl_csr_new() 生成的 CSR。当指定为 file://path/to/csr 或由 openssl_csr_export() 生成的导出字符串时,它也可以是 PEM 编码 CSR 的路径。

    ca_certificate

    生成的证书将由 ca_certificate 签署。如果 ca_certificatenull,则生成的证书将为自签名证书。

    private_key

    private_key 是与 ca_certificate 对应的私钥。

    days

    days 指定生成的证书有效期(以天为单位)。

    options

    您可以通过 options 微调 CSR 签名。有关 options 的更多信息,请参阅 openssl_csr_new()

    serial

    颁发的证书的可选序列号。如果未指定,则默认为 0。

    返回值

    成功时返回 OpenSSLCertificate,失败时返回 false

    变更日志

    版本 描述
    8.0.0 成功时,此函数现在返回 OpenSSLCertificate 实例;以前返回的是 OpenSSL X.509 类型的 资源
    8.0.0 csr 现在接受 OpenSSLCertificateSigningRequest 实例;以前接受的是 OpenSSL X.509 CSR 类型的 资源
    8.0.0 ca_certificate 现在接受 OpenSSLCertificate 实例;以前接受的是 OpenSSL X.509 类型的 资源
    8.0.0 private_key 现在接受 OpenSSLAsymmetricKeyOpenSSLCertificate 实例;以前接受的是 OpenSSL keyOpenSSL X.509 类型的 资源

    示例

    示例 #1 openssl_csr_sign() 示例 - 签署 CSR(如何实现您自己的 CA)

    <?php
    // 假设此脚本设置为接收已从另一个页面粘贴到文本区域的 CSR
    //
    $csrdata = $_POST["CSR"];

    // 我们将使用我们自己的“证书颁发机构”证书来签署请求
    // 证书。您可以使用任何证书来签署另一个证书,但是
    // 除非签署证书被处理新签署证书的软件/用户信任,否则该过程毫无价值

    // 我们需要我们的 CA 证书及其私钥
    $cacert = "file://path/to/ca.crt";
    $privkey = array("file://path/to/ca.key", "your_ca_key_passphrase");

    $usercert = openssl_csr_sign($csrdata, $cacert, $privkey, 365, array('digest_alg'=>'sha256') );

    // 现在显示生成的证书,以便用户可以
    // 将其复制并粘贴到其本地配置中(例如保存证书的
    // SSL 服务器文件)
    openssl_x509_export($usercert, $certout);
    echo     $certout;

    // 显示此处发生的任何错误
    while (($e = openssl_error_string()) !== false) {
    echo     $e . "\n";
    }
    ?>

    发现问题?

    了解如何改进此页面提交拉取请求报告错误
    添加注释

    用户贡献的注释 4 条注释

    0
    thomas dot lussnig at bewegungsmelder dot de
    22 年前
    这是一个创建有效的 X.509 公钥和私钥 (cert/key) 的示例。
    如果不使用自签名,则会出现 4.2.1 segault 错误。您至少需要 openssl 的 CVS 代码。

    <?
    Header("Content-Type: text/plain");
    $CA_CERT = "CA.cert.pem";
    $CA_KEY = "CA.key.pem";
    $req_key = openssl_pkey_new();
    if(openssl_pkey_export ($req_key, $out_key)) {
    $dn = array(
    "countryName" => "DE",
    "stateOrProvinceName" => "Frankfurt",
    "organizationName" => "smcc.net",
    "organizationalUnitName" => "E-Mail",
    "commonName" => "Testcert"
    );
    $req_csr = openssl_csr_new ($dn, $req_key);
    $req_cert = openssl_csr_sign($req_csr, "file://$CA_CERT", "file://$CA_KEY", 365);
    if(openssl_x509_export ($req_cert, $out_cert)) {
    echo "$out_key\n";
    echo "$out_cert\n";
    }
    else echo "Failed Cert\n";
    }
    else echo "FailedKey\n";
    ?>
    -1
    eric at ypass dot net
    22 年前
    要生成自签名证书,请将 NULL 作为签名证书(第二个参数)传递。例如

    $req_key = openssl_pkey_new();
    $dn = array(
    "countryName" => "US",
    "stateOrProvinceName" => "Colorado",
    "organizationName" => "yPass.net",
    "organizationalUnitName" => "yPass.net",
    "commonName" => "yPass.net Root Certificate"
    );
    $req_csr = openssl_csr_new($dn, $req_key);
    $req_cert = openssl_csr_sign($req_csr, NULL, $req_key, 365);
    -2
    Sriraam
    9年前
    config_section_section 不正确。正确的关键词是 "config_section_name"。
    -5
    Kai Sellgren
    15年前
    您可以使用 `file_get_contents()` 直接传递内容,而不是提供文件路径。

    此外,如果您收到错误 "sec_error_reused_issuer_and_serial",请在最后一个参数中添加序列号。

    <?php

    $privkey     = array(file_get_contents('ca.key'),"your_ca_key_passphrase");
    $usercert = openssl_csr_sign($csrdata, file_get_contents('ca.crt'),$privkey,365,NULL,'06');
    openssl_x509_export($usercert,$certout);
    file_put_contents('serverCASigned.crt',$certout);

    ?>

    在上面的例子中,序列号是 "06"。
    添加注释
    To Top