%EB%A5%BC%20CRL%20%ED%8C%8C%EC%9D%BC%EB%A1%9C%20%EC%82%AC%EC%9A%A9%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
마스터 CRL 목록을 찾고 있습니다. 내가 찾은 가장 가까운 것은 Chromium 프로젝트의 것입니다.CRL세트. 나는 사용했다crlset 도구crlset( crlset fetch > crl-set)을 가져온 다음 일련 번호( crlset dump crl-set)를 덤프하면 다음과 같은 내용이 표시됩니다.
f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
03fb3b4d35074e
03fbf94a0e6c39
04097214d6c97c
0442c6b3face55
....
모든 잘못된 일련 번호의 마스터 목록이 포함된 CRL 파일을 openssl 또는 컬(openssl 사용)에 전달할 수 있기를 원합니다. 예를 들어 Verisign의 crl을 전달하는 것보다 모든 것이 전달되기를 원합니다. crlset을 사용하여 이 작업을 수행할 수 있다고 생각했지만 형식이 호환되지 않는 것 같습니다. 시도했지만 openssl crl -inform DER -text -in crl-set다음과 같이 말합니다.
unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL
내가 말하는 내용을 수행하는 방법이나 창의적인 방법에 대한 아이디어가 있는 사람이 있으면 알려주시기 바랍니다. 감사해요
답변1
적어도 원하는 형태로는 불가능할 수도 있습니다.
Chrome의 CRLset에는 여러 개의 취소된 인증서가 있을 수 있습니다.다수의CA. 다음의 인증서가 포함된 단일 CRL 파일다수의CA는 "간접 CRL"로 알려져 있습니다. 간접 CRL은 제대로 지원되지 않습니다. 보다여기그리고여기; OpenSSL은 이 작업을 수행하지 못할 수도 있습니다.
또한 @bentek이 언급했듯이 CRLsets 형식이 호환되지 않는 것 같습니다. 특히 CRLsets 형식에는 필요한 CRL 필드가 모두 포함되어 있지 않습니다. 보다RFC 5280, 섹션 5.1. CRLsets에는 문서에 따라 발급 인증서에 대한 주체 공개 키 정보의 SHA-256 해시와 해당 발급 인증서에서 해지된 인증서에 대한 인증서 일련 번호가 포함되어 있습니다. 정보가 부족하여 재구성할 수 없습니다.직접CRL(즉CA당 하나의 CRL 파일), 안타깝게도 원할 경우 가능합니다. 가장 큰 부족/누락, IMHO는이름(DN) 해지된 인증서 발급자의 이름입니다. CRLsets는 "지문"(SHA-256 SPKI 해시)을 제공하지만 인터넷 범위를 고려할 때 해당 지문을 문제의 인증서 DN에 매핑하는 것은 쉬운 작업이 아닙니다.