运行 windows 上的 bash 脚本中的 Openssl - 主题不以“/”开头
Running Openssl from a bash script on windows - Subject does not start with '/'
在我的脚本中我有:
openssl req \
-x509 \
-new \
-nodes \
-key certs/ca/my-root-ca.key.pem \
-days 3652 \
-out certs/ca/my-root-ca.crt.pem \
-subj "/C=GB/ST=someplace/L=Provo/O=Achme/CN=${FQDN}"
运行 这个在 Windows 在 Git Bash 3.1 给出:
Subject does not start with '/'.
尝试像这样转义主题:
-subj \"/C=UK/ST=someplace/L=Provo/O=Achme/CN=${FQDN}\"
还是不行。有什么想法吗?
此问题特定于 MinGW/MSYS,它通常用作 Git 的一部分 Windows包。
解决方案是传递带有前导 //(双正斜杠)的 -subj 参数,然后使用 \(反斜杠)分隔 key/value 对。像这样:
"//O=Org\CN=Name"
这将以预期的形式神奇地传递给 openssl:
"/O=Org/CN=Name"
因此,要回答具体问题,您应该将脚本中的 -subj 行更改为以下内容。
-subj "//C=GB\ST=someplace\L=Provo\O=Achme\CN=${FQDN}"
这应该是你所需要的。
这是什么魔法?
对于那些对这里究竟发生了什么感到好奇的人,我可以解释这个谜团。原因是 MSYS 合理地假设包含斜杠的参数实际上是路径。当这些参数被传递给一个没有专门为 MSYS 编译的可执行文件时(比如本例中的 openssl),那么它将 convert POSIX paths to Win32 paths。这种转换的规则非常复杂,因为 MSYS 尽力涵盖最常见的互操作性场景。这也解释了为什么在 windows 命令提示符 (cmd.exe) 中使用 openssl 工作正常,因为没有进行神奇的转换。
您可以像这样测试转换。
$ cmd //c echo "/CN=Name"
"C:/Program Files (x86)/Git/CN=Name"
我们不能使用 MSYS 附带的 echo 可执行文件,因为它是为 MSYS 编译的,我们将使用 cmd 中内置的 echo。请注意,由于 cmd 开关以 / 开头(通常用于 windows 命令),我们需要使用双斜杠来处理它。正如我们在输出中看到的那样,参数被扩展为 windows 路径,并且很清楚为什么 openssl 确实声称 Subject does not start with '/'..
让我们看看更多的转化。
$ cmd //c echo "//CN=Name"
/CN=Name
双斜杠使 MSYS 认为该参数是 windows 样式开关,导致仅剥离 /(无路径转换)。你会认为这样我们就可以使用斜线来添加更多的 key/value 对。让我们试试看。
$ cmd //c echo "//O=Org/CN=Name"
//O=Org/CN=Name
开头的双斜杠突然没有被去掉。这是因为现在,在初始双斜杠之后有一个斜杠,MSYS 认为我们正在引用 UNC 路径(例如 //server/path)。如果这被传递给 openssl 它将跳过第一个 key/value 说 Subject Attribute /O has no known NID, skipped.
这里是 MinGW wiki 中解释这种行为的相关规则:
- An argument starting with 2 or more / is considered an escaped Windows style switch and will be passed with the leading / removed and all \ changed to /.
- Except that if there is a / following the leading block of /, the argument is considered to be a UNC path and the leading / is not removed.
在这个规则中,我们可以看到我们可以用来创建我们想要的参数的方法。因为以 // 开头的参数中的所有 \ 都将转换为纯 /。让我们试试看。
$ cmd //c echo "//O=Org\CN=Name"
/O=Org/CN=Name
正如我们所见,它确实有效。
希望这能稍微揭开魔法的神秘面纱。
我个人发现这是特定于正在使用的 OpenSSL 二进制文件的。在我使用 msys2/mingw64 的系统上,我注意到存在两个不同的 OpenSSL 二进制文件,例如:
$ whereis openssl; echo; which openssl
openssl: /usr/bin/openssl.exe /usr/lib/openssl /mingw64/bin/openssl.exe /usr/share/man/man1/openssl.1ssl.gz
/mingw64/bin/openssl
我认为使用 /mingw64/bin/openssl 需要使用以 // 开头的主题,但我不确定这是否特定于 package/build 或OpenSSL 的版本可以肯定,每个二进制文件的版本如下:
$ while read -r _openSslBin; do printf "${_openSslBin}: "; ${_openSslBin} version; done < <(whereis openssl | egrep -o '[^ ]+?\.exe ')
/usr/bin/openssl.exe: OpenSSL 1.0.2p 14 Aug 2018
/mingw64/bin/openssl.exe: OpenSSL 1.1.1 11 Sep 2018
当使用 msys/mingw 在我的机器上工作时,我发现以下 bash 代码示例 select 基于 OpenSSL 版本的正确二进制文件:
# determine openssl binary to use based on OS
# -------------------------------------------
_os="$(uname -s | awk 'BEGIN{FS="_"} {print }' | egrep -o '[A-Za-z]+')"
if [ "${_os,,}" = "mingw" ] || [ "${_os,,}" == "msys" ]; then
while read -r _currentOpenSslBin; do
if [[ "$(${_currentOpenSslBin} version | awk '{print }')" =~ ^(1\.0\.[0-9].*|0\.\.8.*)$ ]]; then
_openSslBin="${_currentOpenSslBin}"
fi
done < <(whereis openssl | egrep -o '\/[^ ]+?\.exe ' | egrep -v 'mingw')
if [ -n "${_openSslBin}" ]; then
printf "OpenSSL Binary: ${_openSslBin} (v. $(${_openSslBin} version | awk '{print }'))\n"
else
printf "Unable to find compatible version of OpenSSL for use with '${_os}' OS, now exiting...\n"
exit 1
fi
else
_openSslBin="openssl"
fi
# display selected openssl binary and it's version
# ------------------------------------------------
printf "${_openSslBin}: "; ${_openSslBin} version
除了解决传递主题字符串的问题外,我还发现这可以解决 DN 大小的问题(我通过了自定义 openssl.cnf 策略,但未设置 max_size 对于任何字段,并且在使用 /mingw64/bin/openssl.exe).
时仍然存在问题
在我的脚本中我有:
openssl req \
-x509 \
-new \
-nodes \
-key certs/ca/my-root-ca.key.pem \
-days 3652 \
-out certs/ca/my-root-ca.crt.pem \
-subj "/C=GB/ST=someplace/L=Provo/O=Achme/CN=${FQDN}"
运行 这个在 Windows 在 Git Bash 3.1 给出:
Subject does not start with '/'.
尝试像这样转义主题: -subj \"/C=UK/ST=someplace/L=Provo/O=Achme/CN=${FQDN}\"
还是不行。有什么想法吗?
此问题特定于 MinGW/MSYS,它通常用作 Git 的一部分 Windows包。
解决方案是传递带有前导 //(双正斜杠)的 -subj 参数,然后使用 \(反斜杠)分隔 key/value 对。像这样:
"//O=Org\CN=Name"
这将以预期的形式神奇地传递给 openssl:
"/O=Org/CN=Name"
因此,要回答具体问题,您应该将脚本中的 -subj 行更改为以下内容。
-subj "//C=GB\ST=someplace\L=Provo\O=Achme\CN=${FQDN}"
这应该是你所需要的。
这是什么魔法?
对于那些对这里究竟发生了什么感到好奇的人,我可以解释这个谜团。原因是 MSYS 合理地假设包含斜杠的参数实际上是路径。当这些参数被传递给一个没有专门为 MSYS 编译的可执行文件时(比如本例中的 openssl),那么它将 convert POSIX paths to Win32 paths。这种转换的规则非常复杂,因为 MSYS 尽力涵盖最常见的互操作性场景。这也解释了为什么在 windows 命令提示符 (cmd.exe) 中使用 openssl 工作正常,因为没有进行神奇的转换。
您可以像这样测试转换。
$ cmd //c echo "/CN=Name"
"C:/Program Files (x86)/Git/CN=Name"
我们不能使用 MSYS 附带的 echo 可执行文件,因为它是为 MSYS 编译的,我们将使用 cmd 中内置的 echo。请注意,由于 cmd 开关以 / 开头(通常用于 windows 命令),我们需要使用双斜杠来处理它。正如我们在输出中看到的那样,参数被扩展为 windows 路径,并且很清楚为什么 openssl 确实声称 Subject does not start with '/'..
让我们看看更多的转化。
$ cmd //c echo "//CN=Name"
/CN=Name
双斜杠使 MSYS 认为该参数是 windows 样式开关,导致仅剥离 /(无路径转换)。你会认为这样我们就可以使用斜线来添加更多的 key/value 对。让我们试试看。
$ cmd //c echo "//O=Org/CN=Name"
//O=Org/CN=Name
开头的双斜杠突然没有被去掉。这是因为现在,在初始双斜杠之后有一个斜杠,MSYS 认为我们正在引用 UNC 路径(例如 //server/path)。如果这被传递给 openssl 它将跳过第一个 key/value 说 Subject Attribute /O has no known NID, skipped.
这里是 MinGW wiki 中解释这种行为的相关规则:
- An argument starting with 2 or more / is considered an escaped Windows style switch and will be passed with the leading / removed and all \ changed to /.
- Except that if there is a / following the leading block of /, the argument is considered to be a UNC path and the leading / is not removed.
在这个规则中,我们可以看到我们可以用来创建我们想要的参数的方法。因为以 // 开头的参数中的所有 \ 都将转换为纯 /。让我们试试看。
$ cmd //c echo "//O=Org\CN=Name"
/O=Org/CN=Name
正如我们所见,它确实有效。
希望这能稍微揭开魔法的神秘面纱。
我个人发现这是特定于正在使用的 OpenSSL 二进制文件的。在我使用 msys2/mingw64 的系统上,我注意到存在两个不同的 OpenSSL 二进制文件,例如:
$ whereis openssl; echo; which openssl
openssl: /usr/bin/openssl.exe /usr/lib/openssl /mingw64/bin/openssl.exe /usr/share/man/man1/openssl.1ssl.gz
/mingw64/bin/openssl
我认为使用 /mingw64/bin/openssl 需要使用以 // 开头的主题,但我不确定这是否特定于 package/build 或OpenSSL 的版本可以肯定,每个二进制文件的版本如下:
$ while read -r _openSslBin; do printf "${_openSslBin}: "; ${_openSslBin} version; done < <(whereis openssl | egrep -o '[^ ]+?\.exe ')
/usr/bin/openssl.exe: OpenSSL 1.0.2p 14 Aug 2018
/mingw64/bin/openssl.exe: OpenSSL 1.1.1 11 Sep 2018
当使用 msys/mingw 在我的机器上工作时,我发现以下 bash 代码示例 select 基于 OpenSSL 版本的正确二进制文件:
# determine openssl binary to use based on OS
# -------------------------------------------
_os="$(uname -s | awk 'BEGIN{FS="_"} {print }' | egrep -o '[A-Za-z]+')"
if [ "${_os,,}" = "mingw" ] || [ "${_os,,}" == "msys" ]; then
while read -r _currentOpenSslBin; do
if [[ "$(${_currentOpenSslBin} version | awk '{print }')" =~ ^(1\.0\.[0-9].*|0\.\.8.*)$ ]]; then
_openSslBin="${_currentOpenSslBin}"
fi
done < <(whereis openssl | egrep -o '\/[^ ]+?\.exe ' | egrep -v 'mingw')
if [ -n "${_openSslBin}" ]; then
printf "OpenSSL Binary: ${_openSslBin} (v. $(${_openSslBin} version | awk '{print }'))\n"
else
printf "Unable to find compatible version of OpenSSL for use with '${_os}' OS, now exiting...\n"
exit 1
fi
else
_openSslBin="openssl"
fi
# display selected openssl binary and it's version
# ------------------------------------------------
printf "${_openSslBin}: "; ${_openSslBin} version
除了解决传递主题字符串的问题外,我还发现这可以解决 DN 大小的问题(我通过了自定义 openssl.cnf 策略,但未设置 max_size 对于任何字段,并且在使用 /mingw64/bin/openssl.exe).