¿Forzar la firma de un certificado de CA subordinado para incluir una extensión de punto de distribución de CRL?

8

¿Cómo puedo adjuntar un parámetro crlDistributionPoints al firmar un CSR que he generado de la siguiente manera?

openssl req -new -key /root/ca/private/private.key -out /root/public.csr

Suelo firmar con:

openssl ca -extensions v3_ca -days 730 -out /root/ca/certs/public.cer -in /root/public.csr

Cuando intento usar -extfile para asignar un archivo que he rellenado con un parámetro crlDistributionPoints , la firma falla. De acuerdo con la página de manual de openssl ca , esto se debe a que -extensions se refiere a -extfile para el perfil de configuración (en este caso v3_ca ). ¿Esto es correcto?

Si es así, ¿cómo puedo crear una configuración que contenga crlDistributionPoints para usar con ca ?

Supongo que no entiendo bien el diseño modular de las configuraciones, y me preocupa que el uso de ca no funcionará de la forma que yo diría si escribo mi propio openssl.cfg ?

    
pregunta mbrownnyc 03.06.2013 - 21:54
fuente

1 respuesta

1

He revisado el contenido de /etc/pki/tls/openssl.cnf , y lo siguiente debería funcionar para producir un -extfile utilizable para usar con el comando mencionado anteriormente ( openssl ca -extensions v3_ca -extfile /root/ca/opensslx509.conf -days 730 -out /root/ca/certs/public.cer -in /root/public.csr ).

echo "[ v3_ca ]" > /root/ca/opensslx509.conf
echo "subjectKeyIdentifier=hash >> /root/ca/opensslx509.conf
echo "authorityKeyIdentifier=keyid:always,issuer >> /root/ca/opensslx509.conf
echo "basicConstraints = CA:true >> /root/ca/opensslx509.conf
echo "crlDistributionPoints=URI:http://CRLSERVER/CRL.pem" >> /root/ca/opensslx509.conf

No he probado no en este momento.

    
respondido por el mbrownnyc 10.07.2013 - 22:06
fuente

Lea otras preguntas en las etiquetas