我想在 PHP 5.x 中创建自签名证书。使用我自己的(替代)openssl 配置,该配置应该由我的 PHP 代码定义。 PHP 脚本将在不同的环境(共享托管网络服务器)上运行。
官方PHP手册说:
默认使用你系统openssl.conf中的信息来初始化请求;您可以通过设置 configargs 的 config_section_section 键来指定配置文件部分。您还可以通过将 config 键的值设置为要使用的文件的路径来指定 替代 openssl 配置文件。 以下键(如果出现在 configargs 中)的行为与 openssl.conf 中的等效项相同,如所列在下表中......
我的问题:我是否必须明确指定 openssl.conf 的路径,因为没有它它似乎也可以正常工作:
$Configs = array(
'digest_alg' => 'sha1',
'x509_extensions' => 'v3_ca',
'req_extensions' => 'v3_req',
'private_key_bits' => 1024,
'private_key_type' => OPENSSL_KEYTYPE_RSA,
'encrypt_key' => true,
'encrypt_key_cipher' => OPENSSL_CIPHER_3DES
);
$privkey = openssl_pkey_new();
$csr = openssl_csr_new($dn, $privkey, $Configs);
$sscert = openssl_csr_sign($csr, null, $privkey, 365, $Configs);
编辑:
在用户在PHP手册上贡献的注释中,为什么他们总是指定openssl.cnf的路径?例如:
$configargs = array(
'config' => '/etc/ssl/openssl.cnf',
'digest_alg' => 'md5',
'x509_extensions' => 'v3_ca',
'req_extensions' => 'v3_req',
'private_key_bits' => 666,
'private_key_type' => OPENSSL_KEYTYPE_RSA,
'encrypt_key' => false,
);
OpenSSL 中有许多配置设置无法通过 $configargs(传递给 OpenSSL 函数的 PHP 参数)在 PHP 中定义。
如果没有指定替代的openssl配置文件,它将自动采用默认的openssl.cnf。
建议:由于您的脚本将在不同的服务器上运行,因此您应该始终使用自己的 openssl.cnf。
只需创建一个简单的文本文件并将以下 4 行放入其中。然后将其路径传递给您正在使用的 OpenSSL 函数(查看上面的第二个示例)。
distinguished_name = req_distinguished_name
[req_distinguished_name]
[v3_req]
[v3_ca]
看来这4行是openssl.cnf必须包含的最少内容。
这个问题的答案与 SSL 的作用有关。它是围绕客户端和服务器之间的 html/http 对话的“外壳”。阿帕奇运行它。它并不是真正的 PHP 领域。当您选择重新创建密钥对时,您真正要做的就是踢 Apache,迫使客户端/服务器使用一对新的 SSL 密钥对重新启动对话。
从某种意义上说,这可能被视为有点像重新制作 session_id
我的问题:我是否必须明确指定 openssl.conf 的路径,因为没有它它似乎也可以正常工作:
这里没有创建自签名证书,而是重新创建它。因此,当您不提供路径时,也没关系,因为它已经有来自 Apache 的路径。
在没有 OpenSSL 的 PHP 中创建自签名证书(需要 phpseclib,纯 PHP X.509 实现)...
<?php
include('File/X509.php');
include('Crypt/RSA.php');
// create private key / x.509 cert for stunnel / website
$privKey = new Crypt_RSA();
extract($privKey->createKey());
$privKey->loadKey($privatekey);
$pubKey = new Crypt_RSA();
$pubKey->loadKey($publickey);
$pubKey->setPublicKey();
$subject = new File_X509();
$subject->setPublicKey($pubKey);
$subject->setDNProp('id-at-organizationName', 'phpseclib demo cert');
$subject->setDomain('www.whatever.com');
$issuer = new File_X509();
$issuer->setPrivateKey($privKey);
$issuer->setDN($subject->getDN());
$x509 = new File_X509();
$x509->setStartDate('-1 month');
$x509->setEndDate('+1 year');
$x509->setSerialNumber(chr(30));
$result = $x509->sign($issuer, $subject);
echo "the stunnel.pem contents are as follows:\r\n\r\n";
echo $privKey->getPrivateKey();
echo "\r\n";
echo $x509->saveX509($result);
echo "\r\n";