[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: x509 and crlDistributionPoints

Tue, 03 Jun 2008 16:59:50 +0300
Maxim Tyurin <mrkooll@bungarus.info> wrote:

> Artem Chuprina writes:
> 
> > Maxim Tyurin -> debian-russian@lists.debian.org  @ Tue, 03 Jun 2008
> > 14:10:36 +0300:
> >
> >  MT> Понадобилось мне чтоб в сертификатах был crlDistributionPoints
> >  MT> (софт проверяет CRL online).
> >  MT> Насколько я понял openssl его поддерживает только в 0.9.9.
> >  MT> Есть ли другой свободный софт который умеет эту фичу?
> >
> > openssl, если я правильно ошибаюсь, умеет засунуть в сертификат
> > все, что угодно.  Только OID придется узнать самостоятельно.
> 
> А где кроме исходников openssl посмотреть как это сделать? В том числе
> и OID.
Почитать в мане на опенссл. После чего добавить в конфиг для нужного
экстеншна нужную запись.

> 
> >  MT> И еще вопрос.
> >  MT> Можно ли в существующие сертификаты добавить
> >  MT> crlDistributionPoints и подписать их другим CA?
> >
> > Операция подписи сертификата создает новый сертификат :-)  Можно
> > выписать новый сертификат на тот же ключ.
> 
> Неточно выразился :) Мне ключи сохранить надо. Отзывать и выдавать
> новые это очень большой геморрой.
> 
> Да и насколько я понимаю идентификация остается та-же (CN,email,...)
> Просто req надо подписать другим CA.
CA может быть тот же, просто дополниетельное поле при подписе будет
добавлено.


-- 
Best regards,
 Alexander GQ Gerasiov

 Contacts:
 e-mail:    gq@cs.msu.su             Jabber:  gq@jabber.ru
 Homepage:  http://gq.net.ru         ICQ:     7272757
 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D  79B8 0641 D82A E3E3 CE1D
Reply to: