LINUX.ORG.RU
ФорумAdmin

OpenSSL. Создание Sub CA


0

1

Привет. Пытаюсь сгенерировать дочерний центр сертификации (Sub CA) с помощью OpenSSL.

Самоподписанный сертификат сгенерировался без проблем: openssl req -days 365 -x509 -newkey rsa:1024 -sha256 -set_serial 0 -nodes -text -keyout ca.key -out ca.crt

А вот с дочерним не получилось: openssl x509 -req -days 365 -in subCA.req -CA ca.crt -CAkey ca.key -sha256 -out subCA.crt -extensions v3_ca

В файле конфигурации указано: [ v3_ca ] basicConstraints = CA:TRUE subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer:always subjectAltName = dirName:dir_sect

Ответ на: комментарий от NixPing

И что именно не работает? Сертификат subCA не создаётся, не получается от имени subCA подписывать сертификаты, или ещё что?

router ★★★★★ ()
Ответ на: комментарий от router

Не создаётся subCA. Ключ генерируется, запрос создаётся. После попытки выдачи subCA выдаётся сообщение: ca.srl no such file or directory. Причём сертификат ca.crt и ключ ca.key находятся в папке.

NixPing ()
Ответ на: комментарий от NixPing

Это просто номер для нового сертификата. CA их считает и автоматом прописывает серийники. И openssl подстраховывается - вдруг ты указал не тот конфигом.

echo 01 > ca.srl
router ★★★★★ ()
Ответ на: комментарий от router

router, спасибо, команда echo 01 > ca.srl помогла.

Теперь сгенерировал subCA, подписанный CA и сертификат сервера, подписанный subCA.

Но при просмотре цепочки сертификатов в Windows, на сертификате subCA выдаётся предупреждение: «This certification authority is not allowed to issue certificates or cannot be used as an end-entity certificate.»

Может быть, subCA нужно генерировать как-то иначе?

NixPing ()
Ответ на: комментарий от NixPing

Нашёл решение. Использовал команду openssl ca -in ../sub_ca/subcareq.pem -extensions v3_ca -config openssl.cnf

NixPing ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.