"openssl crl" verifica dà "Errore nel ricevere il certificato emittente CRL"

3

File A - Questo è il mio file CRL - link

File B - È firmato da questo cert - link

File C - Il certificato di firma CRL è stato emesso da questo CA link

File B & C sono nella directory dir1

Quando comando il comando

openssl crl -in A -CApath dir1  

Ho ricevuto l'errore

Error getting CRL issuer certificate

Questo è un messaggio di errore vago.

Come faccio a capire qual è il problema qui?

Tutti i file sono in formato PEM

    
posta user93353 02.12.2016 - 11:40
fonte

1 risposta

2

TLDR: IT'S WRONG CERT

Il nome dell'emittente in quel CRL è

$ openssl crl -in file0 -noout -issuer
issuer=/C=IN/O=Gujarat Narmada Valley Fertilizers Company Ltd./OU=Certifying Authority/postalCode=380054/ST=Gujarat/street=Bodakdev, S G Road, Ahmedabad/houseIdentifier=301, GNFC Infotower/CN=(n)Code Solutions CA 2011-1

Il nome soggetto nel presunto certificato di firma è

$ openssl x509 -in file1 -noout -subject
subject= /C=IN/O=Gujarat Narmada Valley Fertilizers and Chemicals Limited/OU=Certifying Authority/postalCode=380054/ST=Gujarat/street=Bodakdev, S G Road, Ahmedabad/houseIdentifier=301, GNFC Infotower/CN=(n)Code Solutions CA 2014

Questi non sono gli stessi. Il primo è "Fertilizers Company Ltd. " mentre il secondo è "Fertilizers and Chemicals Limited " e l'anno (o il numero dell'anno) in CN è diverso.

Inoltre, se ignoro questa mancata corrispondenza e controllo manualmente, la firma RSA nel CRL non "decodifica" (più accuratamente, ripristina) con il padding PKCS1-v1_5 valido utilizzando la chiave nel certificato di firma presunto. Ciò significa che è stato firmato con una diversa coppia di chiavi, che deve avere un certificato diverso.

    
risposta data 03.12.2016 - 05:22
fonte

Leggi altre domande sui tag