Evitare la richiesta di password per chiavi e richieste di informazioni DN

Sto usando il seguente codice per generare le chiavi:

apt-get -qq -y install openssl;
mkdir -p /etc/apache2/ssl;
openssl genrsa -des3 -out server.key 1024;
openssl req -new -key server.key -out server.csr;
cp server.key server.key.org;
openssl rsa -in server.key.org -out server.key;
openssl x509 -req -days 12000 -in server.csr -signkey server.key -out server.crt;
mv server.crt  /etc/apache2/ssl/cert.pem;
mv server.key  /etc/apache2/ssl/cert.key;
rm -f server.key.orig;
rm -f server.csr

Ho due domande:

1. Come posso saltare il prompt della passphrase? Sarebbe ragionevolmente sicuro per me farlo? (come in esso non dovrebbe essere assolutamente folle come chiunque dovrebbe essere in grado di hackerare il certificato)

2. Come evitare la richiesta del nome del paese, dell'organizzazione, ecc. Spero di poterli dare al prompt dei comandi (la pagina man mostra solo le opzioni di livello superiore per OpenSSL)

Modifica: questa è di gran lunga la mia risposta più popolare ed è passata qualche anno, quindi ho aggiunto una variante ECDSA. Se puoi usare ECDSA dovresti.

Puoi fornire tutte queste informazioni dalla riga di comando.

Generazione di certificati senza password autofirmati in un solo passaggio:

Versione RSA

openssl req \
    -new \
    -newkey rsa:4096 \
    -days 365 \
    -nodes \
    -x509 \
    -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com" \
    -keyout www.example.com.key \
    -out www.example.com.cert

Versione ECDSA

openssl req \
    -new \
    -newkey ec \
    -pkeyopt ec_paramgen_curve:prime256v1 \
    -days 365 \
    -nodes \
    -x509 \
    -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com" \
    -keyout www.example.com.key \
    -out www.example.com.cert

Tutti i sottocomandi openssl hanno una loro pagina man. Vedere man req.

Affrontare in modo specifico le tue domande ed essere più espliciti su quali opzioni sono effettivamente attive:

1. Il -nodesflag segnala di non crittografare la chiave, quindi non è necessaria una password. Puoi anche usare la -passout argbandiera. Vedi PASS PHRASE ARGUMENTSnella openssl(1)pagina man per come formattare l'arg.

2. Usando il -subjflag è possibile specificare l'oggetto (l'esempio è sopra).

L' -passinopzione non fa il trucco per te?

Con il file:pathnamemodulo puoi essere abbastanza sicuro con le autorizzazioni 600 per quel file.

La risposta accettata richiede un paio di piccole correzioni. Linee EC:

-newkey ec
-pkeyopt ec_paramgen_curve:prime256v1

dovrebbe essere:

 -newkey ec \
 -pkeyopt ec_paramgen_curve:prime256v1 \

Su MacOS - OpenSSL 1.0.2f installato tramite brew ho verificato la risposta accettata come descritto di seguito

• Per elencare le curve ellittiche disponibili:

  $ openssl ecparam -list_curves
  

• Per generare un file chiave:

  $ openssl ecparam -name secp256k1 -out secp256k1.pem
  

• Per generare il certificato senza la richiesta della password:

  openssl req \
      -new \
      -newkey ec:secp256k1.pem \
      -days 365 \
      -nodes \
      -x509 \
      -subj "/C=US/ST=FL/L=Ocala/O=Home/CN=example.com" \
      -keyout server.key \
      -out server.crt
  

• Per visualizzare il certificato:

  $ openssl x509 -noout -text -in server.crt
  

Prova il seguente comando:

openssl genrsa -des3 -out user.key -passout pass:foo 1024

La parte saltare è: -passout pass:foo.

@bahamat ha un'ottima risposta. Sfortunatamente alcune versioni di openssl generano un errore quando si tenta di creare un certificato ECDSA con un comando. L'errore è simile al seguente:

routines:EVP_PKEY_CTX_ctrl:invalid operation:pmeth_lib.c:404

Stavo usando openssl 1.0.1e-fipsil CentOS 7.

La creazione del certificato con i seguenti 3 comandi sembra funzionare:

openssl ecparam -genkey -name prime256v1 -out key.pem
openssl req -new -key key.pem -out csr.pem -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com"
openssl req -x509 -days 365 -key key.pem -in csr.pem -out certificate.pem