Forzare un certificato CA subordinato da firmare per includere un'estensione del punto di distribuzione CRL?

8

Come posso associare un parametro crlDistributionPoints quando firmo un CSR che ho generato come segue:

openssl req -new -key /root/ca/private/private.key -out /root/public.csr

Di solito firmo con:

openssl ca -extensions v3_ca -days 730 -out /root/ca/certs/public.cer -in /root/public.csr

Quando tento di utilizzare -extfile per assegnare un file che ho compilato con un parametro crlDistributionPoints , la firma in chiaro fallisce. Secondo la pagina man per openssl ca , questo è dovuto al fatto che -extensions fa riferimento a -extfile per il profilo di configurazione (in questo caso v3_ca ). È corretto?

In caso affermativo, come posso creare una configurazione contenente crlDistributionPoints da utilizzare con ca ?

Suppongo di non capire bene il design modulare delle configurazioni e sono preoccupato che l'utilizzo di ca non funzioni nel modo in cui indovinerei se scrivo il mio openssl.cfg ?

    
posta mbrownnyc 03.06.2013 - 21:54
fonte

1 risposta

1

Ho esaminato il contenuto di /etc/pki/tls/openssl.cnf e quanto segue dovrebbe funzionare per produrre un -extfile utilizzabile da utilizzare con il comando precedentemente menzionato ( openssl ca -extensions v3_ca -extfile /root/ca/opensslx509.conf -days 730 -out /root/ca/certs/public.cer -in /root/public.csr ).

echo "[ v3_ca ]" > /root/ca/opensslx509.conf
echo "subjectKeyIdentifier=hash >> /root/ca/opensslx509.conf
echo "authorityKeyIdentifier=keyid:always,issuer >> /root/ca/opensslx509.conf
echo "basicConstraints = CA:true >> /root/ca/opensslx509.conf
echo "crlDistributionPoints=URI:http://CRLSERVER/CRL.pem" >> /root/ca/opensslx509.conf

Ho provato non a questo punto.

    
risposta data 10.07.2013 - 22:06
fonte