자체 서명된 CA 인증서를 생성하고 중간 CA 인증서를 생성할 수 있습니다.
이제 다른 인증서에 서명할 수 없는 최종 사용자 인증서를 생성하려고 했습니다. 그래서 openssl.cnf
라인을 열고 변경 v3_req
하고 사용을 basicConstraints=CA:FALSE
생성 하고 중간 CA를 사용하여 서명했습니다..csr
-extensions v3_req
다음으로 나는 그것으로 또 다른 서명을 시도했고 .csr
이상하게도 서명이 이루어졌습니다. 시도해보니 인증은 괜찮았습니다.
나는 완전히 혼합되어 무엇을 해야할지 모르겠습니다. 그래서 무엇이 잘못되었는지 아시나요? 제가 사용한 명령어들입니다.
$ openssl req -x509 -extensions v3_ca -newkey rsa:2048 \
-keyout root_ca.key -out root_ca.crt -days 365 \
-subj /C=US/ST=abc/L=abc/O=test/OU=mine/CN=CA/[email protected] \
-passout pass:123456
$ openssl req -new -extensions v3_ca -newkey rsa:2048 \
-keyout s1.key -out s1.csr -days 365 \
-subj /C=US/ST=abc/L=abc/O=test/OU=mine/CN=s1/[email protected] \
-passout pass:123456
$ openssl ca -policy policy_anything -outdir ./ -out s1.crt \
-cert root_ca.crt -infiles s1.csr -CAkey root_ca.key
$ openssl req -new -extensions v3_req -newkey rsa:2048 \
-keyout client.key -out client.csr -days 365 \
-subj /C=US/ST=abc/L=abc/O=test/OU=mine/CN=s1/[email protected] \
-passout pass:123456
$ openssl ca -policy policy_match -outdir ./ -out client.crt -cert s1.crt \
-infiles client.csr -CAkey s1.key
$ openssl req -new -extensions v3_req -newkey rsa:2048 \
-keyout client2.key -out client2.csr -days 365 \
-subj /C=US/ST=abc/L=abc/O=test/OU=mine/CN=s1/[email protected] \
-passout pass:123456
$ openssl ca -policy policy_match -outdir ./ -out client2.crt \
-cert client.crt -infiles client2.csr -CAkey client.key
$ cat root_ca.crt s1.crt client.crt > ca.pem
$ openssl verify -CAfile ca.pem client2.crt
이것은 구성 파일입니다.
HOME = .
RANDFILE = $ENV::HOME/.rnd
oid_section = new_oids
[ new_oids ]
[ ca ]
default_ca = CA_default
[ CA_default ]
dir = /root/new
certs = $dir/certs
crl_dir = $dir/crl
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certificate = $dir/root_ca.crt
serial = $dir/serial
crlnumber = /root/index.txt
crl = $dir/crl.pem
private_key = $dir/root_ca.key
RANDFILE = $dir/private/.rand
x509_extensions = usr_cert
name_opt = ca_default
cert_opt = ca_default
default_days = 365
default_crl_days = 30
default_md = sha1
preserve = no
policy = policy_match
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca
string_mask = nombstr
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = AU
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Some-State
localityName = Locality Name (eg, city)
0.organizationName = Organization Name (eg, company)
0.organizationName_default = Internet Widgits Pty Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
commonName = Common Name (eg, YOUR name)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 64
[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20
unstructuredName = An optional company name
[ usr_cert ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, nonRepudiation,keyEncipherment, dataEncipherment, keyAgreement
nsComment = "OpenSSL Generated Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
[ v3_req ]
basicConstraints = critical,CA:false
keyUsage = nonRepudiation
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer:always
[ v3_ca ]
subjectKeyIdentifier = hash
extendedKeyUsage = critical,serverAuth, clientAuth
basicConstraints = CA:true
keyUsage = cRLSign, keyCertSign, digitalSignature, nonRepudiation,keyEncipherment, dataEncipherment, keyAgreement, keyCertSign, cRLSign
[ crl_ext ]
authorityKeyIdentifier = keyid:always,issuer:always
[ proxy_cert_ext ]
basicConstraints = CA:FALSE
nsComment = "OpenSSL Generated Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
proxyCertInfo = critical,language:id-ppl-anyLanguage,pathlen:3,policy:foo
답변1
로 시도해 보셨나요 basicConstraints=critical,CA:false
?
추신: 'ca' 유틸리티는 현재 서명에 사용하는 CA 인증서의 유효성을 확인하지 않습니다. 따라서 잘못된 CA로 기꺼이 서명하지만 확인 루틴에서는 이를 거부합니다.
다음은 약간 장황하지만 작동합니다. 설정에서 사용해 보고 문제가 있으면 보고해 주실 수 있나요?
#!/bin/sh
#SSLEAY_CONFIG="-config yourfile.cnf"
ROOTCA_SUBJ="-subj /C=US/ST=abc/L=abc/O=test/OU=mine/CN=RootCA/[email protected]"
CA_SUBJ="-subj /C=US/ST=abc/L=abc/O=test/OU=mine/CN=CA/[email protected]"
CERT_SUBJ="-subj /C=US/ST=abc/L=abc/O=test/OU=mine/CN=cert/[email protected]"
ROOTCA_PASS="pass:test"
CA_PASS="pass:test"
CERT_PASS="pass:test"
DIR="demoCA"
mkdir "$DIR" "$DIR"/certs "$DIR"/crl "$DIR"/newcerts "$DIR"/private
touch "$DIR"/index.txt
echo 01 > "$DIR"/crlnumber
# create Root CA
mkdir rootCA rootCA/certs rootCA/crl rootCA/newcerts rootCA/private
openssl req $SSLEAY_CONFIG -new -keyout rootCA/private/rootCAkey.pem -out rootCA/rootCAreq.pem $ROOTCA_SUBJ -passout "$ROOTCA_PASS"
openssl ca $SSLEAY_CONFIG -create_serial -out rootCA/rootCAcert.pem -days 1095 -batch -keyfile rootCA/private/rootCAkey.pem -passin "$ROOTCA_PASS" -selfsign -extensions v3_ca -infiles rootCA/rootCAreq.pem
# create Intermediate CA
mkdir CA CA/certs CA/crl CA/newcerts CA/private
openssl req $SSLEAY_CONFIG -new -keyout CA/private/CAkey.pem -out CA/CAreq.pem -days 365 $CA_SUBJ -passout "$CA_PASS"
openssl ca $SSLEAY_CONFIG -cert rootCA/rootCAcert.pem -keyfile rootCA/private/rootCAkey.pem -passin "$ROOTCA_PASS" -policy policy_anything -out CA/CAcert.pem -extensions v3_ca -infiles CA/CAreq.pem
# create Final Cert
mkdir cert cert/private
openssl req $SSLEAY_CONFIG -new -keyout cert/private/certkey.pem -out cert/certreq.pem -days 365 $CERT_SUBJ -passout "$CERT_PASS"
openssl ca $SSLEAY_CONFIG -cert CA/CAcert.pem -keyfile CA/private/CAkey.pem -passin "$CA_PASS" -policy policy_anything -out cert/cert.pem -infiles cert/certreq.pem
cat rootCA/rootCAcert.pem CA/CAcert.pem > myCA.pem
openssl verify -CAfile myCA.pem cert/cert.pem
을 실행하면 openssl verify
신뢰 -CAfile
한다는 뜻입니다.이것자격증. 따라서 -CAfile
루트 CA만 포함해야 하며 선택적으로 중간 CA도 포함해야 합니다. 그렇지 않으면 항상 반환됩니다 OK
. 옵션 을 통해 다른 인증서를 추가해야 합니다 -untrusted
.
cert2.pem
그러므로, 해당 기관의 서명이 있는 인증서를 제공하면결정적인 cert.pem
인증서를 취득하면 다음을 얻을 수 있습니다.
$ cat CA/CAcert.pem cert/cert.pem > notrust.pem
$ openssl verify -CAfile myCA.pem -untrusted notrust.pem cert2/cert2.pem
cert2/cert2.pem: C = US, ST = abc, L = abc, O = test, OU = mine, CN = cert, emailAddress = [email protected]
error 24 at 1 depth lookup:invalid CA certificate
답변2
앞에서 설명한 대로 CA 유틸리티는 CA 인증서가 아니더라도 모든 인증서를 사용하여 요청에 기꺼이 서명합니다. 분명히 일부 오래된 브라우저(최소 33 이전의 Firefox 버전)에서는 이러한 체인을 허용할 수도 있습니다.
인증서에 비트가 설정되어 있는지 확인하려면 다음을 isCA
실행하세요.
openssl x509 -text -noout -in your_cert_file.crt
출력에서 다음을 찾습니다.
X509v3 Basic Constraints:
CA:TRUE
CA 인증서입니다. CA가 아닌 인증서에는 CA:FALSE
확장 기능이 있거나 전혀 없습니다.
주의 사항: 요청에 이러한 확장을 포함해야 하며 요청에 서명할 때 CA가 확장을 재정의하지 않도록 해야 합니다.