Running Openssl from a bash script on windows - Subject does not start with '/'
在我的剧本中我有:
1 2 3 4 5 6 7 8 | openssl req \ -x509 \ -new \ -nodes \ -key certs/ca/my-root-ca.key.pem \ -days 3652 \ -out certs/ca/my-root-ca.crt.pem \ -subj"/C=GB/ST=someplace/L=Provo/O=Achme/CN=${FQDN}" |
在Git Bash 3.1中在Windows上运行它给出:
1 | Subject does not start with '/'. |
尝试逃避subj如下:
-subj"/ C = UK / ST = someplace / L = Provo / O = Achme / CN = $ {FQDN}"
仍然无法正常工作。 有任何想法吗?
此问题特定于MinGW / MSYS,它通常用作Git for Windows软件包的一部分。
解决方案是使用前导
1 | "//O=Org\CN=Name" |
然后将以预期的形式神奇地传递给
1 | "/O=Org/CN=Name" |
因此,要回答具体问题,您应该将脚本中的
1 | -subj"//C=GB\ST=someplace\L=Provo\O=Achme\CN=${FQDN}" |
这应该就是你所需要的。
这个魔法是什么?
对于那些对这里正在发生的事情感到好奇的人,我可以解释这个谜。原因是MSYS合理地假设包含斜杠的参数实际上是路径。当这些参数传递给一个尚未专门为MSYS编译的可执行文件(在本例中为
您可以像这样测试转换。
1 2 | $ cmd //c echo"/CN=Name" "C:/Program Files (x86)/Git/CN=Name" |
我们不能使用MSYS附带的
让我们看看更多转换。
1 2 | $ cmd //c echo"//CN=Name" /CN=Name |
双斜线使MSYS认为参数是一个Windows样式开关,导致仅剥离
1 2 | $ cmd //c echo"//O=Org/CN=Name" //O=Org/CN=Name |
突然间,开始时的双斜线没有被剥离。这是因为现在,在初始双斜杠后面有一个斜杠,MSYS认为我们正在引用一个UNC路径(例如//服务器/路径)。如果这被传递给
以下是MinGW维基解释此行为的相关规则:
- An argument starting with 2 or more / is considered an escaped Windows style switch and will be passed with the leading / removed and all \ changed to /.
- Except that if there is a / following the leading block of /, the argument is considered to be a UNC path and the leading / is not removed.
在这个规则中,我们可以看到我们可以用来创建我们想要的参数的方法。由于以
1 2 | $ cmd //c echo"//O=Org\CN=Name" /O=Org/CN=Name |
我们可以看到它确实有效。
希望这可以揭开魔法的神秘面纱。
我个人发现这是特定于使用的OpenSSL二进制文件。在我使用msys2 / mingw64的系统上,我注意到存在两个不同的OpenSSL二进制文件,例如:
1 2 3 4 | $ whereis openssl; echo; which openssl openssl: /usr/bin/openssl.exe /usr/lib/openssl /mingw64/bin/openssl.exe /usr/share/man/man1/openssl.1ssl.gz /mingw64/bin/openssl |
我认为使用
1 2 3 | $ while read -r _openSslBin; do printf"${_openSslBin}:"; ${_openSslBin} version; done < <(whereis openssl | egrep -o '[^ ]+?\.exe ') /usr/bin/openssl.exe: OpenSSL 1.0.2p 14 Aug 2018 /mingw64/bin/openssl.exe: OpenSSL 1.1.1 11 Sep 2018 |
我发现以下bash代码示例在使用msys / mingw在我的机器上工作时,根据OpenSSL版本选择正确的二进制文件:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 | # determine openssl binary to use based on OS # ------------------------------------------- _os="$(uname -s | awk 'BEGIN{FS="_"} {print $1}' | egrep -o '[A-Za-z]+')" if ["${_os,,}" ="mingw" ] || ["${_os,,}" =="msys" ]; then while read -r _currentOpenSslBin; do if [["$(${_currentOpenSslBin} version | awk '{print $2}')" =~ ^(1\.0\.[0-9].*|0\.\9\.8.*)$ ]]; then _openSslBin="${_currentOpenSslBin}" fi done < <(whereis openssl | egrep -o '\/[^ ]+?\.exe ' | egrep -v 'mingw') if [ -n"${_openSslBin}" ]; then printf"OpenSSL Binary: ${_openSslBin} (v. $(${_openSslBin} version | awk '{print $2}')) " else printf"Unable to find compatible version of OpenSSL for use with '${_os}' OS, now exiting... " exit 1 fi else _openSslBin="openssl" fi # display selected openssl binary and it's version # ------------------------------------------------ printf"${_openSslBin}:"; ${_openSslBin} version |
除了修复传递主题字符串的问题之外,我还发现这可以解决DN大小的问题(我传递了一个自定义openssl.cnf,其策略没有为任何字段设置max_size,但仍然存在问题当使用