Forzare un certificato CA subordinato da firmare per includere un'estensione del punto di distribuzione CRL?

Naviga le tue risposte
8

Come posso associare un parametro crlDistributionPoints quando firmo un CSR che ho generato come segue: 

openssl req -new -key /root/ca/private/private.key -out /root/public.csr

Di solito firmo con: 

openssl ca -extensions v3_ca -days 730 -out /root/ca/certs/public.cer -in /root/public.csr

Quando tento di utilizzare -extfile per assegnare un file che ho compilato con un parametro crlDistributionPoints , la firma in chiaro fallisce. Secondo la pagina man per openssl ca , questo è dovuto al fatto che -extensions fa riferimento a -extfile per il profilo di configurazione (in questo caso v3_ca ). È corretto?

In caso affermativo, come posso creare una configurazione contenente crlDistributionPoints da utilizzare con ca ?

Suppongo di non capire bene il design modulare delle configurazioni e sono preoccupato che l'utilizzo di ca non funzioni nel modo in cui indovinerei se scrivo il mio openssl.cfg ?

    
posta mbrownnyc 03.06.2013 - 19:54
fonte

1 risposta

1

Ho esaminato il contenuto di /etc/pki/tls/openssl.cnf e quanto segue dovrebbe funzionare per produrre un -extfile utilizzabile da utilizzare con il comando precedentemente menzionato ( openssl ca -extensions v3_ca -extfile /root/ca/opensslx509.conf -days 730 -out /root/ca/certs/public.cer -in /root/public.csr ). 

echo "[ v3_ca ]" > /root/ca/opensslx509.conf
echo "subjectKeyIdentifier=hash >> /root/ca/opensslx509.conf
echo "authorityKeyIdentifier=keyid:always,issuer >> /root/ca/opensslx509.conf
echo "basicConstraints = CA:true >> /root/ca/opensslx509.conf
echo "crlDistributionPoints=URI:http://CRLSERVER/CRL.pem" >> /root/ca/opensslx509.conf

Ho provato non a questo punto.

    
risposta data 10.07.2013 - 20:06
fonte

Leggi altre domande sui tag

Perché Tor utilizza una nuova rotta ogni pochi minuti Le linee guida per l'hardening di Exchange raccomandano di disabilitare OWA Webready? Dovrebbero?