<div dir="ltr">On our RHEL7 system I created a local CA. When i try to sign the linux created csr there is no problem. But trying to sign from Palo Alto or F5 csr's it errors with <br><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">The stateOrProvinceName field needed to be the same<br> in the CA certificate CA certificate (My Entry) and the request (My Entry)</blockquote><br>So researching i found the references to the openssl asn1parse to see the encoding of the csr. The PA and F5 csr's use PRINTABLESTRING instead of utf8 like the openssl req command from the command line.<br><br>I have been trying to use the string_mask option in the openssl.cnf. I've tried setting  it to multiple options (one at a time) as listed in the default config. It still fails everytime. I've verified that i am using the correct config file that i've modified. (Using configuration from when i run the command)<br><br>string_mask = nombstr<br>string_mask = default<br>string_mask = pkix<br><br><br>I know that i can change policy_match from match to either optional or supplied but i don't want to have to do that. I don't get any error when i put random entry in the string_mask variable but i don't know if that is a way to test the config file anyway.<br><br><div>Rick. </div></div>