Estoy siguiendo esta guía para crear una Autoridad de Certificación para uso interno.
Estoy en la etapa "Crear el certificado intermedio" donde la CA intermedia debe estar firmada por la CA raíz.
openssl ca -config openssl.cnf -extensions v3_intermediate_ca \
-days 3650 -notext -md sha256 \
-in intermediate/csr/intermediate.csr.pem \
-out intermediate/certs/intermediate.cert.pem
Aquí, openssl.cnf apunta al certificado que generé para la CA raíz.
[ CA_default ]
private_key = $dir/private/ca-root.private.encrypted.key
OpenSSL luego me lanza esto interactivamente
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 4096 (0x1000)
Validity
Not Before: Oct 21 17:12:48 2016 GMT
Not After : Oct 31 17:12:48 2018 GMT
Subject:
[...snip...]
X509v3 extensions:
X509v3 Subject Key Identifier:
EC:D9:FD:DC:AA:B9:D3:93:83:14:D2:4D:84:C6:75:A2:20:90:A1:E6
X509v3 Authority Key Identifier:
keyid:EB:81:E3:6B:5D:32:DD:06:0A:D8:4F:B6:D0:5C:A2:BD:C9:CF:8E:79
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
Certificate is to be certified until Oct 31 17:12:48 2018 GMT (740 days)
Sign the certificate? [y/n]:
¿Qué estoy buscando aquí? Saqué la sección Subject:
. Además de tener en cuenta esos detalles (obviamente coinciden con lo que creé un minuto por semana ), ¿debo hacer algo más para comprobar que el certificado es válido?
Y si el CSR proviene de un tercero, ¿qué buscaría verificar?