从 Windows 上的 bash 脚本运行 Openssl - 主题不以“/”开头

Posted 2023-02-25

【中文标题】从 Windows 上的 bash 脚本运行 Openssl - 主题不以“/”开头

【英文标题】：Running Openssl from a bash script on windows - Subject does not start with '/'

【发布时间】：2015-10-08 23:10:14

【问题描述】：

在我的脚本中，我有：

openssl req \
  -x509 \
  -new \
  -nodes \
  -key certs/ca/my-root-ca.key.pem \
  -days 3652 \
  -out certs/ca/my-root-ca.crt.pem \
  -subj "/C=GB/ST=someplace/L=Provo/O=Achme/CN=$FQDN"

在 Git Bash 3.1 中在 Windows 上运行它会得到：

Subject does not start with '/'.

尝试像这样转义主题： -subj \"/C=UK/ST=someplace/L=Provo/O=Achme/CN=$FQDN\"

还是不行。有什么想法吗？

【问题讨论】：

标准的第一个问题：您的脚本文件是否具有 DOS/Windows 样式的行尾（回车 + 换行）或 unix 样式（仅换行）？尝试使用cat -vet /path/to/script 打印脚本，并查看行是以“^M$”（Windows 样式）还是仅“$”（unix 样式）结尾。

这是一个 bash 脚本？在什么环境下运行？将set -vx 添加到脚本顶部显示正在为这一行运行什么？

@EtanReisner set -vx 很有用，谢谢！环境是Windows，Git bash 3.1。使用 -vx，我得到 + openssl req -x509 -new -nodes -key certs/ca/my-root-ca.key.pem -days 3652 -out certs/ca/my-root-ca.crt.pem -subj /C=GB/ST=someplace/L=Provo/O=Achme/CN=domain.com，它显示了未引用的 -subj 字符串。但我不知道如何从脚本中将其转换为带引号的形式。

@GordonDavisson 谢谢！脚本有 '^M$' 行结尾

-vx 输出中未引用的参数并不令人惊讶或有问题。引号用于 shell 解析而不是命令执行本身。该输出对我来说看起来是正确的。 DOS 行尾通常不是一个好主意，但似乎不会在这里造成任何问题（除非删除它们可以解决问题，在这种情况下我对错误消息有点困惑）。

【参考方案1】：

此问题特定于 MinGW/MSYS，它通常用作 Git for Windows 包的一部分。

解决方案是将-subj 参数与前导//（双正斜杠）一起传递，然后使用\（反斜杠）分隔键/值对。像这样：

"//O=Org\CN=Name"

然后这会以预期的形式神奇地传递给openssl：

"/O=Org/CN=Name"

所以要回答具体问题，您应该将脚本中的-subj 行更改为以下内容。

-subj "//C=GB\ST=someplace\L=Provo\O=Achme\CN=$FQDN"

这应该就是你所需要的。

这是什么魔法？

对于那些对这里到底发生了什么感到好奇的人，我可以解释这个谜团。原因是 MSYS 合理地假设包含斜杠的参数实际上是路径。当这些参数被传递给一个没有专门为 MSYS 编译的可执行文件时（比如本例中的openssl），那么它将是convert POSIX paths to Win32 paths。这种转换的规则非常复杂，因为 MSYS 尽力涵盖最常见的互操作性场景。这也解释了为什么在 Windows 命令提示符 (cmd.exe) 中使用 openssl 可以正常工作，因为没有进行任何神奇的转换。

您可以像这样测试转换。

$ cmd //c echo "/CN=Name"
"C:/Program Files (x86)/Git/CN=Name"

我们不能使用 MSYS 附带的 echo 可执行文件，因为它是为 MSYS 编译的，而是我们将使用 cmd 中的 echo 内置函数。请注意，由于cmd 开关以/ 开头（Windows 命令常见），我们需要用双斜杠处理它。正如我们在输出中看到的那样，参数被扩展为 windows 路径，并且很清楚为什么 openssl 确实声称 Subject does not start with '/'.。

让我们看看更多的转化。

$ cmd //c echo "//CN=Name"
/CN=Name

双斜杠使 MSYS 认为该参数是一个 windows 样式的开关，它导致仅剥离 /（无路径转换）。你会认为这样我们可以只使用斜杠来添加更多的键/值对。让我们试试吧。

$ cmd //c echo "//O=Org/CN=Name"
//O=Org/CN=Name

突然间，开头的双斜线没有被删除。这是因为现在，在最初的双斜杠后面加上一个斜杠，MSYS 认为我们正在引用一个 UNC 路径（例如 //server/path）。如果这被传递给openssl，它将跳过第一个键/值说Subject Attribute /O has no known NID, skipped。

以下是 MinGW wiki 中解释此行为的相关规则：

以 2 或更多 / 开头的参数被认为是转义的 Windows 样式开关，将在传递前导 / 并删除所有 \ 更改为 /。 除非在/的前导块后面有/，否则该参数被认为是UNC路径，不会去除前导/。

在这条规则中，我们可以看到我们可以用来创建我们想要的参数的方法。由于在以// 开头的参数中的所有\ 都将转换为普通/。让我们试试看。

$ cmd //c echo "//O=Org\CN=Name"
/O=Org/CN=Name

我们可以看到它确实有效。

希望这能稍微揭开魔法的神秘面纱。

【讨论】：

很好的解释。

如果我在linux环境下使用同样的bash-script生成密钥呢？如何解释行中间的前导双斜杠和反斜杠？

@Orient Linux 需要反斜杠，因此您需要检测它运行在哪种类型的系统上 - 这是一个使用 case 语句和 uname -s 来检测的答案环境，然后您可以将其与 if 一起使用以使用适当的斜杠 - ***.com/questions/3466166/…

太棒了。我遇到了同样的问题，完全忘记了 POSIX 到 Win32 路径的转换。一直以为我引用错了。

【参考方案2】：

我个人发现这是特定于使用的 OpenSSL 二进制文件。在我使用 msys2/mingw64 的系统上，我注意到存在两个不同的 OpenSSL 二进制文件，例如：

$ whereis openssl; echo; which openssl
openssl: /usr/bin/openssl.exe /usr/lib/openssl /mingw64/bin/openssl.exe /usr/share/man/man1/openssl.1ssl.gz

/mingw64/bin/openssl

我认为是 /mingw64/bin/openssl 的使用需要使用以 // 开头的主题，但是我不确定这是否特定于包/构建或 OpenSSL 的版本，所以可以确定，每个二进制文件的版本如下：

$ while read -r _openSslBin; do printf "$_openSslBin: "; $_openSslBin version; done < <(whereis openssl | egrep -o '[^ ]+?\.exe ')
/usr/bin/openssl.exe: OpenSSL 1.0.2p  14 Aug 2018
/mingw64/bin/openssl.exe: OpenSSL 1.1.1  11 Sep 2018

当使用 msys/mingw 在我的机器上工作时，我找到了以下 bash 代码示例，用于根据 OpenSSL 版本选择正确的二进制文件：

# determine openssl binary to use based on OS
# -------------------------------------------
_os="$(uname -s | awk 'BEGINFS="_" print $1' | egrep -o '[A-Za-z]+')"
if [ "$_os,," = "mingw" ] || [ "$_os,," == "msys" ]; then
  while read -r _currentOpenSslBin; do
    if [[ "$($_currentOpenSslBin  version | awk 'print $2')" =~ ^(1\.0\.[0-9].*|0\.\9\.8.*)$ ]]; then
      _openSslBin="$_currentOpenSslBin"
    fi
  done < <(whereis openssl | egrep -o '\/[^ ]+?\.exe ' | egrep -v 'mingw')
  if [ -n "$_openSslBin" ]; then
    printf "OpenSSL Binary: $_openSslBin (v. $($_openSslBin  version | awk 'print $2'))\n"
  else
    printf "Unable to find compatible version of OpenSSL for use with '$_os' OS, now exiting...\n"
    exit 1
  fi
else
  _openSslBin="openssl"
fi

# display selected openssl binary and it's version
# ------------------------------------------------
printf "$_openSslBin: "; $_openSslBin version

除了解决传递主题字符串的问题外，我还发现这可以解决 DN 大小的问题（我传递了一个自定义的 openssl.cnf，其策略没有为任何字段设置 max_size 并且使用/mingw64/bin/openssl.exe时仍然有问题。