Re: x509 and crlDistributionPoints
On 2008.06.03 at 16:59:50 +0300, Maxim Tyurin wrote:
> > openssl, если я правильно ошибаюсь, умеет засунуть в сертификат все, что
> > угодно. Только OID придется узнать самостоятельно.
OpenSSL прекрасно знает слово crlDistributionPoints. Мог бы и
objects.txt прогрепать прежде чем отвечать.
> А где кроме исходников openssl посмотреть как это сделать? В том числе
> и OID.
В файле openssl.cnf который используется при операциях CA пишем
в разделе, испольуземом при операции ca
x509_extensions = some_section_name
Дальше там же пишем раздел
[some_section_name]
basicConstraints=CA:FALSE
crlDistribuitonPoints=URI:http://some.host.ru/current.crl
Можно даже в раздел CA_default не добавлять строку x509_extensions =
а указать нужную секцию в командной строке команды openssl ca с помощью
ключика -extensions имя-секции.
Это описано в man ca.
Можно взять русский перевод мануала на openssl
http://www.cryptocom.ru/files/00009-01%2034%2001.pdf
> > MT> И еще вопрос.
> > MT> Можно ли в существующие сертификаты добавить crlDistributionPoints и
> > MT> подписать их другим CA?
> >
> > Операция подписи сертификата создает новый сертификат :-) Можно
> > выписать новый сертификат на тот же ключ.
>
> Неточно выразился :) Мне ключи сохранить надо. Отзывать и выдавать
> новые это очень большой геморрой.
>
> Да и насколько я понимаю идентификация остается та-же (CN,email,...)
> Просто req надо подписать другим CA.
> --
>
> With Best Regards, Maxim Tyurin
> JID: MrKooll@jabber.pibhe.com
>
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
Reply to: