Sto seguendo questa guida per creare un'Autorità di certificazione per uso interno.
Sono nella fase "Crea il certificato intermedio" in cui la CA intermedia deve essere firmata dalla CA radice.
openssl ca -config openssl.cnf -extensions v3_intermediate_ca \
-days 3650 -notext -md sha256 \
-in intermediate/csr/intermediate.csr.pem \
-out intermediate/certs/intermediate.cert.pem
Qui, openssl.cnf punta al certificato che ho generato per la CA radice.
[ CA_default ]
private_key = $dir/private/ca-root.private.encrypted.key
OpenSSL quindi mi lancia questo in modo interattivo
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 4096 (0x1000)
Validity
Not Before: Oct 21 17:12:48 2016 GMT
Not After : Oct 31 17:12:48 2018 GMT
Subject:
[...snip...]
X509v3 extensions:
X509v3 Subject Key Identifier:
EC:D9:FD:DC:AA:B9:D3:93:83:14:D2:4D:84:C6:75:A2:20:90:A1:E6
X509v3 Authority Key Identifier:
keyid:EB:81:E3:6B:5D:32:DD:06:0A:D8:4F:B6:D0:5C:A2:BD:C9:CF:8E:79
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
Certificate is to be certified until Oct 31 17:12:48 2018 GMT (740 days)
Sign the certificate? [y/n]:
Che cosa sto cercando qui? Ho ritagliato la sezione Subject:
. A prescindere dal mettere a fuoco quei dettagli (ovviamente corrispondono a le cose che ho creato io stesso un minuto ), dovrei fare qualcos'altro per verificare che il certificato sia valido?
E se il CSR proveniva da una terza parte, che cosa avrei intenzione di verificare?