Archivo A: este es mi archivo CRL - enlace
Archivo B: está firmado por este certificado: enlace
Archivo C: el certificado de firma CRL ha sido emitido por esta CA enlace
Archivo B & C están en el directorio dir1
Cuando emito un comando
openssl crl -in A -CApath dir1
Me sale el error
Error getting CRL issuer certificate
Este es un mensaje de error vago.
¿Cómo me imagino cuál es el problema aquí?
Todos los archivos están en formato PEM
TLDR: ES EL CERT INCORRECTO
El nombre del emisor en esa CRL es
$ openssl crl -in file0 -noout -issuer
issuer=/C=IN/O=Gujarat Narmada Valley Fertilizers Company Ltd./OU=Certifying Authority/postalCode=380054/ST=Gujarat/street=Bodakdev, S G Road, Ahmedabad/houseIdentifier=301, GNFC Infotower/CN=(n)Code Solutions CA 2011-1
El nombre del sujeto en su supuesto certificado de firma es
$ openssl x509 -in file1 -noout -subject
subject= /C=IN/O=Gujarat Narmada Valley Fertilizers and Chemicals Limited/OU=Certifying Authority/postalCode=380054/ST=Gujarat/street=Bodakdev, S G Road, Ahmedabad/houseIdentifier=301, GNFC Infotower/CN=(n)Code Solutions CA 2014
Estos no son los mismos. El primero es 'Fertilizers Company Ltd. ' mientras que el segundo es 'Fertilizers and Chemicals Limited ' y el año (o número similar al año) en CN es diferente.
Además, si ignoro esta falta de coincidencia y verifico manualmente, la firma RSA en la CRL no se "descifra" (más precisamente, se recupera) al relleno PKCS1-v1_5 válido usando la clave en el certificado de firma presunta. Esto significa que se firmó con un par de llaves diferente, que debe tener un certificado diferente.
Lea otras preguntas en las etiquetas public-key-infrastructure openssl crl pem