[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: x509 and crlDistributionPoints



On 2008.06.03 at 16:59:50 +0300, Maxim Tyurin wrote:

> > openssl, если я правильно ошибаюсь, умеет засунуть в сертификат все, что
> > угодно.  Только OID придется узнать самостоятельно.

OpenSSL прекрасно знает слово crlDistributionPoints. Мог бы и
objects.txt прогрепать прежде чем отвечать.

> А где кроме исходников openssl посмотреть как это сделать? В том числе
> и OID.
 
В файле openssl.cnf который используется при операциях CA пишем
в разделе, испольуземом при операции ca 

x509_extensions = some_section_name

Дальше там же пишем раздел
[some_section_name]
basicConstraints=CA:FALSE 
crlDistribuitonPoints=URI:http://some.host.ru/current.crl

Можно даже в раздел CA_default не добавлять строку x509_extensions =
а указать нужную секцию в командной строке команды openssl ca с помощью
ключика -extensions имя-секции.

Это описано в man ca.

Можно взять русский перевод  мануала на openssl
http://www.cryptocom.ru/files/00009-01%2034%2001.pdf






> >  MT> И еще вопрос.
> >  MT> Можно ли в существующие сертификаты добавить crlDistributionPoints и
> >  MT> подписать их другим CA?
> >
> > Операция подписи сертификата создает новый сертификат :-)  Можно
> > выписать новый сертификат на тот же ключ.
> 
> Неточно выразился :) Мне ключи сохранить надо. Отзывать и выдавать
> новые это очень большой геморрой.
> 
> Да и насколько я понимаю идентификация остается та-же (CN,email,...)
> Просто req надо подписать другим CA.
> -- 
> 
> With Best Regards, Maxim Tyurin
> JID:	MrKooll@jabber.pibhe.com
> 			
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> 


Reply to: