Nella mia applicazione, ci sono molti partiti che si fidano di revocare un certificato (cioè firmando un CRL), ma non sono sicuri di firmare (nuovi) certificati.
Come faccio a contrassegnare una CA come attendibile solo per i CRL e non per i certificati? C'è un modo per contrassegnare il certificato CA per questo?
Quanto saranno valide le applicazioni? Le mie applicazioni previste sono openssl e strongswan.
Se l'entità deve firmare il CRL ma non i certificati, allora non è una CA - è un emittente CRL . Viene spesso chiamato emittente CRL indiretto perché, per definizione, è distinto dalla CA che ha emesso i certificati il cui stato di revoca è specificato dal CRL.
Un certificato può essere convalidato come CA solo se (tra le altre cose) ha un Basic Constraints estensione che contiene un cA flag di valore TRUE . Se non vuoi che il tuo certificato emittente CRL sia confuso come certificato CA, assicurati semplicemente che non contenga l'estensione Basic Constraints , oppure, se contiene tale estensione, che il flag cA abbia valore FALSE .
Per rendere il certificato accettabile come emittente CRL, potresti avere altre cose da fare:
Se esiste un'estensione Key Usage , il flag cRLSign deve essere impostato.
Il CRL dovrebbe includere un'estensione Issuing Distribution Point con indirectCRL flag impostato su TRUE .
Il nome dell'emittente CRL e il contenuto dell'estensione IDP devono corrispondere a quelli del CRL Distribution Points estensione nei certificati il cui stato deve essere affermato tramite il CRL. Le regole sono intricate .
Tieni presente che i CRL indiretti sono mal supportati. In particolare, poiché i certificati dell'emittente del CRL non sono una CA, non fanno parte della catena di certificati principale. Di conseguenza, non verrà incluso, ad esempio, negli insiemi di certificati inviati da client e server SSL. Pertanto, il CRL indiretto sarà utilizzabile solo dai sistemi pronti per scaricare certificati aggiuntivi o che tali certificati sono resi disponibili tramite altri metodi.
Leggi altre domande sui tag openssl public-key-infrastructure certificates certificate-authority certificate-revocation