¿Forzar la firma de un certificado de CA subordinado para incluir una extensión de punto de distribución de CRL?

Navega tus respuestas
8

¿Cómo puedo adjuntar un parámetro crlDistributionPoints al firmar un CSR que he generado de la siguiente manera? 

openssl req -new -key /root/ca/private/private.key -out /root/public.csr

Suelo firmar con: 

openssl ca -extensions v3_ca -days 730 -out /root/ca/certs/public.cer -in /root/public.csr

Cuando intento usar -extfile para asignar un archivo que he rellenado con un parámetro crlDistributionPoints , la firma falla. De acuerdo con la página de manual de openssl ca , esto se debe a que -extensions se refiere a -extfile para el perfil de configuración (en este caso v3_ca ). ¿Esto es correcto?

Si es así, ¿cómo puedo crear una configuración que contenga crlDistributionPoints para usar con ca ?

Supongo que no entiendo bien el diseño modular de las configuraciones, y me preocupa que el uso de ca no funcionará de la forma que yo diría si escribo mi propio openssl.cfg ?

    
pregunta mbrownnyc 03.06.2013 - 21:54
fuente

1 respuesta

1

He revisado el contenido de /etc/pki/tls/openssl.cnf , y lo siguiente debería funcionar para producir un -extfile utilizable para usar con el comando mencionado anteriormente ( openssl ca -extensions v3_ca -extfile /root/ca/opensslx509.conf -days 730 -out /root/ca/certs/public.cer -in /root/public.csr ). 

echo "[ v3_ca ]" > /root/ca/opensslx509.conf
echo "subjectKeyIdentifier=hash >> /root/ca/opensslx509.conf
echo "authorityKeyIdentifier=keyid:always,issuer >> /root/ca/opensslx509.conf
echo "basicConstraints = CA:true >> /root/ca/opensslx509.conf
echo "crlDistributionPoints=URI:http://CRLSERVER/CRL.pem" >> /root/ca/opensslx509.conf

No he probado no en este momento.

    
respondido por el mbrownnyc 10.07.2013 - 22:06
fuente

Lea otras preguntas en las etiquetas

PHP 5.3.9 Ayuda de vulnerabilidad ¿Cuáles son las implicaciones de divulgar un secreto del consumidor para compartir entre desarrolladores que realizan el desarrollo de sitios web locales?