Неверный идентификатор ключа авторизации в сертификате openssl end
4493
Huckle
Я получаю интересные результаты при подписании сертификата конечного сервера с использованием промежуточного центра сертификации с использованием openssl.
Это показывает правильный KeyId и Serial от промежуточного CA, но неправильное DirName, которое по некоторым причинам является DN корневого CA.
1 ответ на вопрос
2
Coffee Monkey
Это нормальное поведение.
DirName в Идентификаторе ключа авторизации на самом деле является именем субъекта эмитента. Простое включение субъекта эмитента будет дублировать DN эмитента, уже имеющийся в сертификате.
Это общий вопрос, на который также есть ответы в FAQ по OpenSSL.
Спецификация действительно не проясняет это. Первое предложение довольно однозначно, но второе предложение, похоже, указывает на то, что это должно быть имя эмитента и серийный номер сертификата подписи. Половина этой информации является дубликатом, но серийный номер не дублируется и необходим для выбора правильного ключа, если их существует для данного эмитента. (RFC2459, раздел 4.2.1.1) «Идентификация может основываться либо на идентификаторе ключа (идентификаторе ключа субъекта в сертификате эмитента), либо на имени и серийном номере эмитента».
Huckle 10 лет назад
0