openssl CLI - verifica CRL di un'intera catena di certificazione

0

Sto usando OpenSSL per verificare un codice firmato in una PKI personalizzata. Come posso verificare il CRL di ciascun nodo della gerarchia di cert.

La mia gerarchia è: RootCA - > SubCA1 - > SubCA2 - > Utente finale. Posso verificare il CRL per una catena di profondità:

~/$ cat RootCA.crl.pem RootCA.pem > RootCA.chain.pem
~/$ openssl verify -check_crl -CAfile RootCA.chain.pem SubCA1.pem
CN = SubCA1
SubCA1.pem: OK

Tuttavia, quando provo a ottenere la stessa cosa con più subCA, la validazione del CRL fallisce:

~/$ cat RootCA.crl.pem RootCA.pem > RootCA.chain.pem
~/$ cat SubCA1.crl.pem SubCA1.pem > SubCA1.chain.pem
~/$ openssl verify -check_crl -CAfile RootCA.chain.pem -untrusted SubCA1.chain.pem SubCA2.pem
CN = SubCA1
error 3 at depth 0 lookup: unable to get certificate CRL
error SubCA2.pem: verification failed

È possibile raggiungere questa verifica multi-profondità del CRL? Ho anche provato con -check_crl_all, ma dà lo stesso errore.

    
posta dvr33 23.08.2018 - 10:23
fonte

0 risposte

Leggi altre domande sui tag