LINUX.ORG.RU

По перевыпуску своего CA подскажите...


0

0

Старый скоро проэкспарится, новый я выпустил на старом ключе, добавил на винды, старый удалил...

Сертификат выданный для https старым CA замечательно проверился... Однако openssl verify ругается:

cert_https.pem: /C=RU/L=St-Petersburg/..... error 20 at 0 depth lookup:unable to get local issuer certificate

Различия в старом и новом сертификате минимальные, ключ общий.

5,6c5,6 < cd:ee:10:8d:07:2d:78:8f < Signature Algorithm: md5WithRSAEncryption --- > 8b:8e:f9:70:4d:42:d2:d5 > Signature Algorithm: sha1WithRSAEncryption 9,10c9,10 < Not Before: Feb 27 10:27:05 2005 GMT < Not After : Feb 27 10:27:05 2008 GMT --- > Not Before: Feb 13 07:30:49 2008 GMT > Not After : Feb 12 07:30:49 2011 GMT 58c58 < serial:CD:EE:10:8D:07:2D:78:8F --- > serial:8B:8E:F9:70:4D:42:D2:D5 79,108c79,108 < Signature Algorithm: md5WithRSAEncryption > Signature Algorithm: sha1WithRSAEncryption

Как то очень не хочется переподписывать все сервисы заново...

anonymous

Re: По перевыпуску своего CA подскажите...

А если на веб-сервере сделать cat old_CA new_CA > CA_use и прописать его использование в директиве SSLCACerificateFile

anonymous ()
Ответ на: Re: По перевыпуску своего CA подскажите... от anonymous

Re: По перевыпуску своего CA подскажите...

openssl verify -CAfile CA.pem https.pem

не проходит... Соответственно, все сервисы использующие libssl в сертификат не верит.

Старый сертификат после экспирации влиять не на что не сможет, поэтому добавлять его нет смысла.

anonymous ()
Ответ на: Re: По перевыпуску своего CA подскажите... от anonymous

Re: По перевыпуску своего CA подскажите...

Вот и мне бы кто-то объяснил бы...

Сертификат подписывается КЛЮЧЕМ от CA... Ключ CA остался тот же.

На самом деле я немного в шоке от того, что MS применяет более мягкие критерии при проверки подлинности сертификата...

Т.е. меня бы устроила проверка только ключа... Но различное поведение MS и openssl вызывает подозрения, что MS не проверяет вовсе...

Короче какую проверку делает openssl, которую не считает нужным делать MS IE?

anonymous ()
Ответ на: Re: По перевыпуску своего CA подскажите... от anonymous

Re: По перевыпуску своего CA подскажите...

Ну возможно вот ответ http://mia.ece.uic.edu/cgi-bin/lxr/http/source/crypto/x509v3/v3_purp.c?v=open... 598 /* Check serial number */ 599 if(subject->akid->serial && 600 ASN1_INTEGER_cmp(X509_get_serialNumber(issuer), 601 subject->akid->serial)) 602 return X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH;

Номер не совпадает цепочка не строится. Самый простой способ объединить два сертификата в один файл, тогда все будет работать. Когда у всех сервисов перевыпустят сертификаты, его можно заменить на новый.

anonymous ()
Ответ на: Re: По перевыпуску своего CA подскажите... от anonymous

Re: По перевыпуску своего CA подскажите...

Отличная идея. Добавил req -new -x509 -set_serial XXXXX

И все заработало.

Огромное спасибо, избавили меня от глупой ни кому не нужной работы по переподписыванию всех сервисов.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.