openssl_csr_sign

(PHP 4 >= 4.2.0, PHP 5, PHP 7, PHP 8)

openssl_csr_sign — 使用另一个证书（或自身）签署 CSR 并生成证书

描述

openssl_csr_sign(
    OpenSSLCertificateSigningRequest|string $csr,
    OpenSSLCertificate|string|null $ca_certificate,
    #[\SensitiveParameter] OpenSSLAsymmetricKey|OpenSSLCertificate|array|string $private_key,
    int $days,
    ?array $options = null,
    int $serial = 0,
    ?string $serial_hex = null
): OpenSSLCertificate|false

openssl_csr_sign() 从给定的 CSR 生成一个 x509 证书。

注意: 您需要安装一个有效的 openssl.cnf 才能使此函数正常运行。有关更多信息，请参见安装部分中的说明。

参数

csr: 由 openssl_csr_new() 之前生成的 CSR。它也可以是 PEM 编码的 CSR 的路径，当指定为 file://path/to/csr 或由 openssl_csr_export() 生成的导出字符串时。
ca_certificate: 生成的证书将由 ca_certificate 签署。如果 ca_certificate 是 null，则生成的证书将是自签名证书。
private_key: private_key 是与 ca_certificate 相对应的私钥。
days: days 指定生成的证书的有效期，以天为单位。
options: 您可以通过 options 微调 CSR 签名。有关 options 的更多信息，请参见 openssl_csr_new()。
serial: 颁发的证书的可选序列号。如果未指定，它将默认为 0。

返回值

如果成功，则返回一个 OpenSSLCertificate，如果失败，则返回 false。

变更日志

版本	描述
8.0.0	成功后，此函数现在返回一个 OpenSSLCertificate 实例；以前，返回一个类型为 `OpenSSL X.509` 的资源。
8.0.0	`csr` 现在接受一个 OpenSSLCertificateSigningRequest 实例；以前，它接受一个类型为 `OpenSSL X.509 CSR` 的资源。
8.0.0	`ca_certificate` 现在接受一个 OpenSSLCertificate 实例；以前，它接受一个类型为 `OpenSSL X.509` 的资源。
8.0.0	`private_key` 现在接受一个 OpenSSLAsymmetricKey 或 OpenSSLCertificate 实例；以前，它接受一个类型为 `OpenSSL key` 或 `OpenSSL X.509` 的资源。

示例

示例 #1 openssl_csr_sign() 示例 - 签署 CSR（如何实现您自己的 CA）

<?php
// 假设此脚本设置为接收从另一个页面粘贴到文本区域的 CSR
$csrdata = $_POST["CSR"];

// 我们将使用我们自己的“证书颁发机构”证书签署请求。您可以使用任何证书签署另一个证书，但
// 此过程毫无意义，除非签署证书被处理新签署证书的软件/用户信任

// 我们需要我们的 CA 证书及其私钥
$cacert = "file://path/to/ca.crt";
$privkey = array("file://path/to/ca.key", "your_ca_key_passphrase");

$usercert = openssl_csr_sign($csrdata, $cacert, $privkey, 365, array('digest_alg'=>'sha256') );

// 现在显示生成的证书，以便用户可以
// 将其复制并粘贴到他们的本地配置中（例如，一个文件
// 用于保存其 SSL 服务器的证书）
openssl_x509_export($usercert, $certout);
echo $certout;

// 显示此处发生的任何错误
while (($e = openssl_error_string()) !== false) {
 echo $e . "\n";
}
?>

改进此页面

了解如何改进此页面 • 提交拉取请求 • 报告错误

＋添加说明

用户贡献说明 4 条说明

向上

向下

thomas dot lussnig at bewegungsmelder dot de ¶

22 年前

这是一个创建有效的 X.509 公钥和私钥（cert/key）的示例。
当不使用自签名时，4.2.1 segault。您至少需要 openssl 的 CVS 代码。

<?
Header("Content-Type: text/plain");
$CA_CERT = "CA.cert.pem";
$CA_KEY = "CA.key.pem";
$req_key = openssl_pkey_new();
if(openssl_pkey_export ($req_key, $out_key)) {
$dn = array(
"countryName" => "DE",
"stateOrProvinceName" => "Frankfurt",
"organizationName" => "smcc.net",
"organizationalUnitName" => "E-Mail",
"commonName" => "Testcert"
                );
$req_csr = openssl_csr_new ($dn, $req_key);
$req_cert = openssl_csr_sign($req_csr, "file://$CA_CERT", "file://$CA_KEY", 365);
if(openssl_x509_export ($req_cert, $out_cert)) {
echo "$out_key\n";
echo "$out_cert\n";
                }
else echo "Failed Cert\n";
        }
else echo "FailedKey\n";
?>

向上

向下

-1

eric at ypass dot net ¶

22 年前

要生成自签名证书，请将 NULL 作为签名证书（第二个参数）传递。例如

$req_key = openssl_pkey_new();
$dn = array(
"countryName" => "US",
"stateOrProvinceName" => "Colorado",
"organizationName" => "yPass.net",
"organizationalUnitName" => "yPass.net",
"commonName" => "yPass.net 根证书"
);
$req_csr = openssl_csr_new($dn, $req_key);
$req_cert = openssl_csr_sign($req_csr, NULL, $req_key, 365);

向上

向下

-2

Sriraam ¶

8 年前

config_section_section 不正确。正确关键字为 "config_section_name"。

向上

向下

-5

Kai Sellgren ¶

15 年前

您可以使用 file_get_contents() 直接传递内容，而不是提供文件路径。

此外，如果您遇到错误“sec_error_reused_issuer_and_serial”，请在最后一个参数中添加一个序列号。

<?php

$privkey = array(file_get_contents('ca.key'),"your_ca_key_passphrase");
$usercert = openssl_csr_sign($csrdata, file_get_contents('ca.crt'),$privkey,365,NULL,'06');
openssl_x509_export($usercert,$certout);
file_put_contents('serverCASigned.crt',$certout);

?>

在上面的示例中，序列号为“06”。

＋添加说明