openssl: неизвестный дайджест sha-512

Question

Я пытаюсь создать запрос на подпись сертификата с помощью openssl:

openssl req -key my.key -out out.csr -new -subj "XXXXXXX" -config openssl-san.cnf

, но получаю эту ошибку:

req: Unknown digest sha-512
req: Use -help for summary.

Я работаю под Ubuntu 18.04, все файлы есть иавтоматически генерируются, поэтому я не думаю, что конфиг или файлы ключей являются проблемой.

Answer 1

Исправьте ваш openssl-san.cnf файл конфигурации, чтобы ссылаться на дайджест как sha512, а не sha-512.

Взгляните на https://www.openssl.org/docs/manmaster/man1/openssl-req.html

-digest Это указываетДайджест сообщения для подписи запроса.Можно использовать любой дайджест, поддерживаемый командой OpenSSL dgst.Это переопределяет алгоритм дайджеста, указанный в файле конфигурации.

и

default_md Эта опция указывает используемый алгоритм дайджеста.Можно использовать любой дайджест, поддерживаемый командой OpenSSL dgst.Эта опция может быть переопределена в командной строке.Некоторые алгоритмы подписи (например, Ed25519 и Ed448) будут игнорировать любой установленный дайджест.

Если вы посмотрите на https://www.openssl.org/docs/manmaster/man1/openssl-dgst.html, он скажет вам, что вы можете запустить

openssl list --digest-commands

, чтобы увидеть, какие дайджесты и их имена доступны в вашей сборке OpenSSL.

Например:

openssl list --digest-commands

blake2b512        blake2s256        gost              md4
md5               rmd160            sha1              sha224
sha256            sha384            sha512

Какие имена вы должны использовать везде, накомандной строки или в ваших конфигурационных файлах.