Не удается сгенерировать сертификат на стороне клиента после создания собственного центра сертификации

Согласно учебнику,Я должен быть в состоянии изменить общее имя во время этого процесса

Этот учебник говорит вам сгенерировать новый ключ с openssl genrsa И новый CSR с openssl req -new И создать сертификат из CSR с помощью openssl ca. (Хотя, как и слишком многие люди, он ошибочно говорит, что сертификат создается путем «подписи КСО». ЦС не подписывает CSR. ЦС подписывает сертификат, который создает частично основан на КСО, но отличается от КСО. /rant)

При создании нового CSR вы указываете имя субъекта, включая, но не ограничиваясь общим именем, которые, как говорится, должны отличаться от сертификатов ЦС над ним, и должны отличаться от других сертификатов EE, чтобы избежать путаницы.

openssl ca может фактически переопределить имя субъекта для выданного сертификата (полное имя, а не общее имя по отдельности),Но это приведет к получению сертификатов с разными именами для одного и того же ключа, что в лучшем случае излишне запутанно. и, как правило, менее безопасны (хотя вы не заботитесь об этой части, другие делают, поэтому это нелегко).

Ошибка Загрузка расширения в разделе usr-crt
... нет значения ... имя=email_in_dn
Может ли это исходить из вышестоящего файла по умолчанию ...

Не напрямую. openssl ca -config xxx использует xxx и только xxx в качестве конфигурационного файла. Если файл является производным от upstream, нужное имя раздела —usr_cert, как вы, по-видимому, обнаружили, но вам не нужно указывать usr_cert, поскольку оно используется по умолчанию. Сообщение об ошибке о email_in_dn просто осталось в стеке ошибок, и единственной реальной ошибкой была usr-crt; как только вы исправите, что -noemailDN не нужен, хотя вы можете захотеть это в любом случае.

Имеет ли это какое-то отношение к subjectNameAlt?

Предполагая, что вы имеете в виду unique_subject, нет. subjectAltName (не subjectNameAlt) aka SAN является распространенным , которое задает альтернативные имена для субъекта, но unique_subject относится только к базовому Поле субъекта, а не к san.

Сертификат на стороне клиента для установки в браузере, который будет получать доступ к Интернету через прокси

Чтобы было ясно, сертификат клиента, подобный этому, полезен только для аутентификации себя на прокси-сервере. Вы не можете использовать сертификат в клиенте / браузере для аутентификации в чем-либо в Интернете через ЛЮБОЙ HTTPS MitM, и вы не можете использовать сертификат клиента, который вы выдаете сами, для аутентификации в чужих системах в Интернете.

Ошибка TXT_DB номер 2 означает DB_ERROR_INDEX_CLASH.

Вы дважды пытались отправить сертификат в базу данных OpenSSL CA с тем же индексом.

Причиной этого обычно является отправка сертификата в базу данных, содержащего тот же серийный номер или такое же общее имя. Для последнего проверьте параметр unique_subject в файле intermediate / openssl.conf , о котором вы можете прочитать в man ca .

Общее имя для сертификата клиента может быть любым - например, вашим именем.

Общее имя будет указано в файле intermediate / openssl.conf . Его можно настроить для запроса значений или чтения значений из файла конфигурации. Это контролируется опцией prompt , о которой вы можете прочитать в man req .