"openssl crl" verificar da "Error al obtener el certificado de emisor CRL"

3

Archivo A: este es mi archivo CRL - enlace

Archivo B: está firmado por este certificado: enlace

Archivo C: el certificado de firma CRL ha sido emitido por esta CA enlace

Archivo B & C están en el directorio dir1

Cuando emito un comando

openssl crl -in A -CApath dir1  

Me sale el error

Error getting CRL issuer certificate

Este es un mensaje de error vago.

¿Cómo me imagino cuál es el problema aquí?

Todos los archivos están en formato PEM

    
pregunta user93353 02.12.2016 - 11:40
fuente

1 respuesta

2

TLDR: ES EL CERT INCORRECTO

El nombre del emisor en esa CRL es

$ openssl crl -in file0 -noout -issuer
issuer=/C=IN/O=Gujarat Narmada Valley Fertilizers Company Ltd./OU=Certifying Authority/postalCode=380054/ST=Gujarat/street=Bodakdev, S G Road, Ahmedabad/houseIdentifier=301, GNFC Infotower/CN=(n)Code Solutions CA 2011-1

El nombre del sujeto en su supuesto certificado de firma es

$ openssl x509 -in file1 -noout -subject
subject= /C=IN/O=Gujarat Narmada Valley Fertilizers and Chemicals Limited/OU=Certifying Authority/postalCode=380054/ST=Gujarat/street=Bodakdev, S G Road, Ahmedabad/houseIdentifier=301, GNFC Infotower/CN=(n)Code Solutions CA 2014

Estos no son los mismos. El primero es 'Fertilizers Company Ltd. ' mientras que el segundo es 'Fertilizers and Chemicals Limited ' y el año (o número similar al año) en CN es diferente.

Además, si ignoro esta falta de coincidencia y verifico manualmente, la firma RSA en la CRL no se "descifra" (más precisamente, se recupera) al relleno PKCS1-v1_5 válido usando la clave en el certificado de firma presunta. Esto significa que se firmó con un par de llaves diferente, que debe tener un certificado diferente.

    
respondido por el dave_thompson_085 03.12.2016 - 05:22
fuente

Lea otras preguntas en las etiquetas