OpenSSL. Создание Sub CA

0

1

Привет. Пытаюсь сгенерировать дочерний центр сертификации (Sub CA) с помощью OpenSSL.

Самоподписанный сертификат сгенерировался без проблем: openssl req -days 365 -x509 -newkey rsa:1024 -sha256 -set_serial 0 -nodes -text -keyout ca.key -out ca.crt

А вот с дочерним не получилось: openssl x509 -req -days 365 -in subCA.req -CA ca.crt -CAkey ca.key -sha256 -out subCA.crt -extensions v3_ca

В файле конфигурации указано: [ v3_ca ] basicConstraints = CA:TRUE subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer:always subjectAltName = dirName:dir_sect

Ссылка

←	Обновление до wheezy

Zabbix SNMP traps LinkUp/LinkDown триггер

→

-in subCA.req

А запрос на сертификат какой командой создавал?

router ★★★★★
(03.08.13 17:52:13 MSK)

Ответ на: комментарий от router 03.08.13 17:52:13 MSK

Генерируется ключ и запрос:

openssl genrsa -out subCA.key 1024 openssl req -new -key subCA.key -sha256 -out subCA.req

NixPing
(03.08.13 18:10:09 MSK) автор топика

Ответ на: комментарий от NixPing 03.08.13 18:10:09 MSK

И что именно не работает? Сертификат subCA не создаётся, не получается от имени subCA подписывать сертификаты, или ещё что?

router ★★★★★
(03.08.13 18:31:31 MSK)

Ответ на: комментарий от router 03.08.13 18:31:31 MSK

Не создаётся subCA. Ключ генерируется, запрос создаётся. После попытки выдачи subCA выдаётся сообщение: ca.srl no such file or directory. Причём сертификат ca.crt и ключ ca.key находятся в папке.

NixPing
(03.08.13 21:23:15 MSK) автор топика

Ответ на: комментарий от NixPing 03.08.13 21:23:15 MSK

Это просто номер для нового сертификата. CA их считает и автоматом прописывает серийники. И openssl подстраховывается - вдруг ты указал не тот конфигом.

echo 01 > ca.srl

router ★★★★★
(03.08.13 21:29:01 MSK)

Ответ на: комментарий от router 03.08.13 21:29:01 MSK

man ca

       serial
           a text file containing the next serial number to use in hex.
           Mandatory.  This file must be present and contain a valid serial
           number.

router ★★★★★
(03.08.13 21:30:14 MSK)

Ответ на: комментарий от router 03.08.13 21:30:14 MSK

router, спасибо, команда echo 01 > ca.srl помогла.

Теперь сгенерировал subCA, подписанный CA и сертификат сервера, подписанный subCA.

Но при просмотре цепочки сертификатов в Windows, на сертификате subCA выдаётся предупреждение: «This certification authority is not allowed to issue certificates or cannot be used as an end-entity certificate.»

Может быть, subCA нужно генерировать как-то иначе?

NixPing
(04.08.13 19:32:31 MSK) автор топика

Ответ на: комментарий от NixPing 04.08.13 19:32:31 MSK

Нашёл решение. Использовал команду openssl ca -in ../sub_ca/subcareq.pem -extensions v3_ca -config openssl.cnf

NixPing
(10.08.13 12:22:53 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Обновление до wheezy

Admin

Zabbix SNMP traps LinkUp/LinkDown триггер

→

Похожие темы