1 votes

user1242010 avatar

Problème de création d'une chaîne de certificats multi-niveaux avec OpenSSL

Demandé el 4 de Janvier, 2016
Quand la question a-t-elle été
1199 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Je crée trois niveaux de certificats, à savoir, racine->A->B. Le certificat A est signé par la racine et le certificat B est signé par le certificat A. Les certificats sont générés à l'aide de l'utilitaire de ligne de commande OpenSSL pour Windows. Les certificats ont été créés avec succès et je les ai installés dans Win7, mais le problème vient du certificat 'B'. Je joins les captures d'écran enter image description here

enter image description here

Je suis les étapes fournies dans le blog ci-dessous sur la façon de créer une racine et un subordonné et d'obtenir le subordonné signé par la racine-.

blog.didierstevens.com/2015/03/30/howto-make-your-own-cert-with-openssl-on-Windows/.

Quelqu'un peut-il m'aider à comprendre ce que je fais mal ? En fait, j'essaie de créer une chaîne de certificats et de naviguer vers le certificat racine en tenant compte des certificats intermédiaires.

Demandé el 4 de Janvier, 2016 par user1242010

Réponse

Trop de publicités?

0voto

Bhabba avatar
Bhabba Points 113

Dans le fichier de configuration OpenSSL que vous avez utilisé pour CA A vous devriez avoir un basicConstraints comme indiqué ci-dessous :

[req]
prompt = no
distinguished_name = req_distinguished_name
req_extensions = v3_req

[req_distinguished_name]
organizationalUnitName  = Test Certificate Authority
commonName = Test Subordinate CA

[ v3_req ]
basicConstraints = critical; CA:TRUE

Il en va de même pour Root. Vous ne devez pas le définir dans B à la demande de la Commission.

Alternativement, le fichier de configuration d'OpenSSL que vous avez utilisé pour Root lorsqu'il se signe lui-même et l'AC A devrait avoir :

[ ca ]
default_ca      = CA_default

[ CA_default ]
x509_extensions = x509_ext

[ x509_ext ]
basicConstraints = critical; CA:TRUE

Plus d'informations sur CA:TRUE peut être glanée à partir de l'OpenSSL documentation et de RFC 5280 section 4.2.1.9

Répondu el 28 de Janvier, 2016 par Bhabba (113 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X