openssl_csr_new

(PHP 4 >= 4.2.0, PHP 5, PHP 7, PHP 8)

openssl_csr_newГенерирует CSR

Описание

openssl_csr_new(
    array $distinguished_names,
    OpenSSLAsymmetricKey &$private_key,
    ?array $options = null,
    ?array $extra_attributes = null
): OpenSSLCertificateSigningRequest|false

Функция openssl_csr_new() создаёт новый CSR на основе информации, которую задали в параметре distinguished_names.

Замечание: Для корректной работы этой функции должен существовать правильный openssl.cnf. Для более подробной информации смотрите замечания под разделом установки.

Список параметров

distinguished_names

Уникальное имя (Distinguished Name) или поля субъекта для сертификата.

private_key

Для параметра private_key требуется установить закрытый ключ, который сгенерировала функция openssl_pkey_new() (или который вернула любая другая функция семейства openssl_pkey). Соответствующую открытую часть ключа функция использует, чтобы подписать CSR.

options

По умолчанию для инициализации запроса используется информация из системного файла openssl.conf. Можно указать секцию конфигурационного файла путём задания ключа config_section_section в параметре options. Можно также задать альтернативный файл конфигурации openssl путём задания ключа config значением пути до него. Соответствие ключей, которые указали в параметре options, ключам из файла openssl.conf дают следующие параграфы описания.

Переопределение конфигурации
Ключ options Тип Соответствие в openssl.conf Описание
digest_alg string default_md Один из методов openssl_get_md_methods()
x509_extensions string x509_extensions Определяет, какое расширение должно использоваться, чтобы создать сертификат x509
req_extensions string req_extensions Определяет, какое расширение должно использоваться для создания CSR
private_key_bits int default_bits Задаёт, сколько бит должно использоваться для генерации закрытого ключа
private_key_type int none Задаёт тип создаваемого закрытого ключа. Одна из констант: OPENSSL_KEYTYPE_DSA, OPENSSL_KEYTYPE_DH, OPENSSL_KEYTYPE_RSA или OPENSSL_KEYTYPE_EC. По умолчанию OPENSSL_KEYTYPE_RSA.
encrypt_key bool encrypt_key Должен ли шифроваться (паролем) экспортируемый ключ?
encrypt_key_cipher int none Одна из констант шифров.
curve_name string none Одно из openssl_get_curve_names().
config string N/A Путь до альтернативного файла конфигурации openssl.conf.

extra_attributes

Параметр extra_attributes используется для указания дополнительных опций для CSR. И distinguished_names, и extra_attributes являются ассоциативными массивами, ключи которых преобразуются в OI-ы и применяются к соответствующим частям запроса.

Возвращаемые значения

Функция возвращает CSR или false, если возникла ошибка.

Список изменений

Версия Описание
8.0.0 csr теперь принимает экземпляр OpenSSLCertificateSigningRequest; ранее принимался ресурс (resource) типа OpenSSL X.509 CSR.
8.0.0 private_key теперь принимает экземпляр OpenSSLAsymmetricKey; ранее принимался ресурс (resource) типа OpenSSL key.
7.1.0 Параметр options теперь поддерживает curve_name.

Примеры

Пример #1 Создание самоподписанного сертификата

<?php
// для сервера сертификации SSL, commonName является доменным именем
// для сертификатов S/MIME, commonName является владельцем расположения адреса email
// и поля идентификации относятся к владельцу домена или электронной почты,
// подлежащим защите
$dn = array(
"countryName" => "GB",
"stateOrProvinceName" => "Somerset",
"localityName" => "Glastonbury",
"organizationName" => "The Brain Room Limited",
"organizationalUnitName" => "PHP Documentation Team",
"commonName" => "Wez Furlong",
"emailAddress" => "wez@example.com"
);

// Создание пары закрытый/открытый ключ
$privkey = openssl_pkey_new(array(
"private_key_bits" => 2048,
"private_key_type" => OPENSSL_KEYTYPE_RSA,
));

// Создание CSR
$csr = openssl_csr_new($dn, $privkey, array('digest_alg' => 'sha256'));

// Создание самоподписанного сертификата со сроком жизни 365 дней
$x509 = openssl_csr_sign($csr, null, $privkey, $days=365, array('digest_alg' => 'sha256'));

// Сохранение закрытого ключа, CSR и самоподписанного сертификата
openssl_csr_export($csr, $csrout) and var_dump($csrout);
openssl_x509_export($x509, $certout) and var_dump($certout);
openssl_pkey_export($privkey, $pkeyout, "mypassword") and var_dump($pkeyout);

// Покажем возникшие ошибки, если они были
while (($e = openssl_error_string()) !== false) {
echo
$e . "\n";
}
?>

Пример #2 Создание самоподписанного ECC сертификата (начиная с PHP 7.1.0)

<?php
$subject
= array(
"commonName" => "docs.php.net",
);

// Создание пары закрытый/открытый ключ
$private_key = openssl_pkey_new(array(
"private_key_type" => OPENSSL_KEYTYPE_EC,
"curve_name" => 'prime256v1',
));

// Создание CSR
$csr = openssl_csr_new($subject, $private_key, array('digest_alg' => 'sha384'));

// Создание самоподписанного EC сертификата
$x509 = openssl_csr_sign($csr, null, $private_key, $days=365, array('digest_alg' => 'sha384'));
openssl_x509_export_to_file($x509, 'ecc-cert.pem');
openssl_pkey_export_to_file($private_key, 'ecc-private.key');
?>

Смотрите также

  • openssl_csr_sign() - Подписывает CSR через другой сертификат (или им же) и создаёт сертификат