catena di certificati ".DER" è uguale al certificato intermedio. È corretto?

Question

catena di certificati ".DER" è uguale al certificato intermedio. È corretto?

#1 da (2 voti)

2

Ho una domanda riguardante il certificato della catena DER (radice e intermedio). Ho generato certificati root e intermedi con openSSL in base al link . Di conseguenza ho:

certificato radice ( ca4096.cert.pem )
e certificato intermedio ( intermediate4096.cert.pem ) firmato dall'autorità di root.

Ho usato il comando cat per unirli in catena di certificati ca-chain4k4k.cert.pem .

Quindi con il comando openssl:

openssl x509 -outform der -in certificate.pem -out certificate.der

ho convertito intermediate4096.cert.pem e ca-chain4k4k.cert.pem nei corrispondenti certificati .der . Entrambi i file risultanti sono uguali binari.

È giusto così?
Se sì, potresti spiegarmi perché non sono necessarie le informazioni sui certificati di root?
Se no, quale errore faccio? Come posso allegare informazioni sul certificato di root nel certificato di catena .der .

Uso OpenSSL 1.0.1t

openssl certificates certificate-authority

posta biechu 28.04.2017 - 17:30

fonte

1 risposta

Leggi altre domande sui tag openssl certificates certificate-authority

Importanza di un breve termine di scadenza su JWT Rischi per la privacy di inserire informazioni di contatto in moduli che utilizzano le API di Google

score 2 · Accepted Answer

I used cat command to combine them into certificate chain ca-chain4k4k.cert.pem ...
openssl x509 -outform der -in certificate.pem -out certificate.der
i converted intermediate4096.cert.pem and ca-chain4k4k.cert.pem into corresponding .der certificates. Both resulting files are binary equal.

Il comando che hai usato ha essenzialmente convertito il primo certificato in intermediate4096.cert.pem e il primo certificato in chain4k4k.cert.pem nel formato DER. Poiché il primo certificato in chain4k4k.cert.pem è uguale al primo (e solo) certificato in intermedio4096.cert.pem, il risultato è lo stesso.

How can i attach root certificate information in the .der chain certificate.

Non puoi semplicemente concatenare più certificati in formato DER. Mentre con PEM è semplicemente possibile concatenare tutti i certificati con DER, è necessario un contenitore come PKCS12 . Vedi Generazione di un file PKCS # 12 con openSSL per esempi su come creare File PKCS # 12 con OpenSSL.